Dohoda o zpracování osobních údajů

Platná od 15. 8. 2022

Poslední aktualizace 15. 8. 2022

Tato Dohoda o zpracování osobních údajů (dále jen „DZOÚ“) je součástí Podmínek společnosti SumUp pro elektronickou komerci (dále jen „Dohoda“, „Další podmínky“), Zásad ochrany osobních údajů a dalších příslušných podmínek společnosti SumUp (dále jen „Podmínky“, „Zásady ochrany osobních údajů“) dohodnutých mezi vámi jako obchodníkem SumUp (dále jen „vy“ ve všech příslušných gramatických tvarech, „Správce údajů“) a společností SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Ireland D02 K580 (dále jen „SumUp“, „my“ ve všech příslušných gramatických tvarech, „Zpracovatel údajů“), která je součástí skupiny společností SumUp S.A.R.L., a podléhá ustanovením těchto dokumentů.

Obě strany se dohodly a zajistí, že podmínky dle této DZOÚ budou v plném rozsahu platné pro jejich partnery, kteří mohou být zapojeni do zpracování osobních údajů v rámci Služeb, jak stanoví Další podmínky. Společnost SumUp zajistí, že další zpracovatelé budou při zpracování Údajů vašich zákazníků postupovat dle podmínek shodných s těmi, které stanoví tato DZOÚ.

Aby bylo možné poskytovat vám Služby v souladu s Dalšími podmínkami, zpracovává společnost SumUp údaje zákazníků nebo návštěvníků vaší stránky se Službami (dále jen „Vaši zákazníci“, „Zákazníci“). Zpracování těchto údajů společností SumUp je dále označováno jen jako „zpracování“ (v souladu s definicí tohoto pojmu v GDPR). Tato Dohoda o zpracování osobních údajů stanoví podmínky takového zpracování ze strany společnosti SumUp.

1. Definice

1.1 „Platnými právními předpisy o ochraně osobních údajů“se rozumí nařízení (EU) 2016/679 (dále jen „Obecné nařízení o ochraně osobních údajů“, „GDPR“ nebo „Nařízení“) a dále veškerá platná legislativa upravující zpracování osobních údajů, včetně směrnice o ochraně údajů v odvětví elektronických komunikací 2002/58/ES.

1.2 Význam pojmů „správce“„subjekt údajů“„osobní údaje“, „zpracovávat“, „zpracování“ „zpracovatel“ je shodný s jejich významem v GDPR.

1.3Pojmem „Obsah“ se rozumí váš Obsah a veškerý další obsah od Vašich zákazníků poskytnutý společnosti SumUp, mimo jiné též text, fotky, obrázky, zvukové nahrávky, videa, kód, informace ze souborů cookies nebo podobných sledovacích technologií a jakékoli další materiály.

1.4 „Údaje vašich zákazníků“ jsou osobní údaje zahrnuté v Obsahu Vašich zákazníků, které společnost SumUp vaším jménem zpracovává v rámci poskytování Služeb. Údaje vašich zákazníků nezahrnují osobní údaje, pokud jsou tyto údaje spravovány společností SumUp.

Všechny definice uvedené v této DZOÚ, které nejsou v této části výslovně vymezeny, se významově shodují s definicemi uvedenými v Dalších podmínkách. Pokud v Dalších podmínkách nebo Podmínkách neexistuje přesná definice pojmů, má se za to, že jejich význam odpovídá významu uvedenému v GDPR, a pokud definice není uvedena v Nařízení, pak v jiných příslušných předpisech.

2. Rozsah platnosti. Tato DZOÚ se vztahuje výhradně na Údaje vašich zákazníků, a to pouze v rozsahu, ve kterém platí GDPR. Zbavujete společnost SumUp odpovědnosti za osobní údaje, které jste se rozhodli předat ke zpracování třetím stranám nebo mimo Služby, včetně systémů jakýchkoli jiných cloudových služeb nebo offline či online úložišť třetích stran.

3. Podrobnosti o zpracování údajů

3.1 Předmět zpracování. Předmětem zpracování údajů dle této DZOÚ jsou Údaje vašich zákazníků.

3.2 Trvání. Jak je mezi vámi a námi dohodnuto, trvání zpracování údajů dle této DZOÚ určujete vy dle doby, po kterou se rozhodnete využívat naše Služby.

3.3 Účel. Účelem zpracování údajů dle této DZOÚ je poskytování a vylepšování Služeb dle vašich požadavků. 

3.4 Povaha Zpracování. Služby popsané v Dalších podmínkách dle vašich občasných požadavků.

3.5 Druh osobních údajů. Údaje vašich zákazníků související s vámi, Vašimi zákazníky a dalšími osobami, jejichž osobní údaje jsou součástí Obsahu, který je v rámci Služeb zpracováván v souladu s udělenými pokyny. Tyto údaje zahrnují mimo jiné též jména, e-mailové adresy, mobilní/telefonní čísla, poštovní adresy, bankovní údaje, historii transakcí a IP adresy Vašich zákazníků. Zvláštní kategorie osobních údajů, včetně údajů týkajících se rozsudků a rozhodnutí ve věcech trestné činnosti a přestupků, se nepovažují za údaje určené ke zpracování v rámci Služeb a jsou vyloučeny z podmínek dle této DZOÚ. Pokud jsou takové údaje zpracovávány během používání našich Služeb, neděje se tak s vědomím společnosti SumUp a vy byste tyto informace měli vymazat bezprostředně po odhalení takového zpracování.

3.6 Kategorie subjektů údajů. Vy, Vaši zákazníci, potenciální zákazníci vašich zákazníků a všechny další osoby, jejichž osobní údaje jsou zahrnuty do Obsahu.

4. Práva a povinnosti

4.1 V rozsahu, ve kterém společnost SumUp vaším jménem zpracovává Údaje vašich zákazníků, přičemž toto zpracování podléhá obecnému nařízení o ochraně osobních údajů (nařízení (EU) 2016/679, tzv. „GDPR“), berete na vědomí a souhlasíte, že pro účely poskytování Služeb společností SumUp jste Správcem těchto osobních údajů a na základě využívání Služeb SumUp jste společnost SumUp pověřili zpracováním Údajů vašich zákazníků vaším jménem v souladu s touto DZOÚ.

4.2 Přijetí této DZOÚ můžete kdykoli odvolat, ale v takovém případě vám společnost SumUp nebude moci poskytovat Služby.

4.3 Společnost SumUp jako zpracovatel osobních údajů:

A. Zpracovává Údaje vašich zákazníků výhradně za účely uvedenými v DZOÚ a v souladu s platným právem a DZOÚ.

B. Je oprávněna jednat a zpracovávat Údaje vašich zákazníků pouze v souladu s vaším dokumentovaným pokynem, pokud zákon, nařízení soudu nebo legislativní opatření nevyžaduje jednání bez takového pokynu. V okamžiku uzavření této DZOÚ je váš pokyn takový, že společnost SumUp je oprávněna zpracovávat Údaje vašich zákazníků pouze za účelem poskytování Služeb, jak jsou popsány v DZOÚ a Dalších podmínkách. V souladu s podmínkami dle této DZOÚ a na základě vzájemné dohody obou stran můžete vydat další písemné pokyny dle podmínek této DZOÚ.

C. Zaručuje, že osoby oprávněné ke zpracování osobních údajů jsou vázány mlčenlivostí nebo jsou ze zákona povinny zachovávat mlčenlivost.

D. Zaručuje, že přístup k osobním údajům se uděluje jen v případech, kdy je potřebný s ohledem na plnění Služeb dle Dalších podmínek.

E. Odpovídá za to, že zaměstnanci/subdodavatelé a/nebo zástupci, kteří zpracovávají Údaje vašich zákazníků budou zpracovávat osobní údaje výhradně v souladu s vašimi pokyny.

F. Vás neprodleně informuje o případech, kdy bude některé pokyny považovat za odporující Platným právním předpisům o ochraně osobních údajů.

G. Je povinna zajistit ochranu Údajů vašich zákazníků dle této DZOÚ před zničením, pozměněním, ztrátou nebo jakýmkoli jiným neoprávněným zpracováním. Za tímto účelem společnost SumUp přijímá příslušná bezpečnostní opatření v souladu s platnými zákony. Technická a organizační opatření přijímaná společností SumUp závisí na technickém pokroku. Společnost SumUp může zavést některá vhodná alternativní opatření. Při zavádění takových alternativ nelze snížit účinnost definovaných bezpečnostních opatření. V případě potřeby vám společnost SumUp pomůže zavést příslušná technická a organizační opatření a s ohledem na povahu nakládání s informacemi a kategorie informací, které má společnost SumUp k dispozici, pomůže zajistit plnění vašich povinností podle Platných právních předpisů o ochraně osobních údajů.

H. Na základě vaší odůvodněné žádosti vám zpřístupní certifikáty prokazující, že plní své povinnosti dle této DZOÚ a Platných právních předpisů o ochraně osobních údajů a/nebo poskytne informace nezbytné k prokázání souladu s jejími povinnostmi dle této DZOÚ a Platných právních předpisů o ochraně osobních údajů. Informace, které je společnost SumUp povinna zpřístupnit, jsou omezeny pouze na nezbytné informace ve smyslu povahy Služeb a na informace, které má společnost SumUp k dispozici tak, aby vám pomohla splnit vaše povinnosti, zejména s ohledem na články 32 a 36 GDPR (povinnosti týkající se posouzení dopadů na ochranu údajů, předchozí konzultace a zajištění bezpečnosti osobních údajů).

I. Vám v přiměřených lhůtách vhodnými opatřeními a přiměřeným způsobem dle možností (s ohledem na povahu zpracování) pomůže s dodržováním práv subjektu údajů a plněním všech dalších příslušných povinností vyplývajících z nařízení o ochraně osobních údajů, včetně GDPR.

J. Vám v souladu s platným právem po obdržení dotazu nebo stížnosti od osoby, jejíž osobní údaje jsou zahrnuty do vašeho Obsahu, případně závazného požadavku od státního, policejního, regulačního nebo jiného orgánu ve věci zpracování Údajů vašich zákazníků z naší strany vaším jménem a dle vašich pokynů zašle příslušné oznámení.

4.4 Jako správce osobních údajů:

A. Budete shromažďovat, používat a zpracovávat osobní údaje zahrnuté v Obsahu v souladu s veškerými Platnými právními předpisy o ochraně osobních údajů.

B. Nesete výhradní odpovědnost za přesnost, kvalitu a zákonnost zpracování Údajů vašich zákazníků a prostředků, kterými byly získány.

C. Zajistíte odpovídající úroveň zabezpečení při využívání Služeb, přičemž zohledníte veškerá rizika ve smyslu Údajů vašich zákazníků.

D. Nesete veškerá rizika a odpovědnost související s jakýmkoli uchováváním a/nebo převáděním Údajů vašich zákazníků k jakékoli třetí straně nebo na jakoukoli externí platformu mimo společnost SumUp.

E. Zajistíte, aby vaše pokyny ohledně zpracování osobních údajů byly v souladu se všemi zákony, předpisy a pravidly ve smyslu Údajů vašich zákazníků. Dále zajistíte, aby zpracování Údajů vašich zákazníků dle vašich pokynů nevedlo k porušení žádných zákonů, pravidel ani předpisů (včetně GDPR) z vaší či naší strany.

5. Oznámení o porušeních. Každá ze stran neprodleně (ne však později než ve lhůtě 48 hodin) informuje druhou stranu, jakmile zjistí, že došlo k porušení zabezpečení osobních údajů zpracovávaných dle této DZOÚ. Společnost SumUp vám pomůže plnit vaši oznamovací povinnost dle článků 33 a 34 GDPR a poskytne vám informace o porušení zabezpečení v přiměřeném rozsahu, ve kterém vám je může sdělit, a to s přihlédnutím k povaze Služeb, informacím, které má k dispozici a platným omezením sdělování informací, například z důvodu zachování důvěrnosti. Navzdory výše uvedenému nezahrnují povinnosti společnosti SumUp podle této části incidenty, které jsou způsobeny vámi, aktivitou na vašem účtu a/nebo službami třetích stran. Společnost SumUp je povinna spolupracovat a poskytnout vám podporu během vyšetřování, zmírňování negativních následků a nápravy porušení zabezpečení osobních údajů a dále též při předcházení případným budoucím podobným porušením zabezpečení osobních údajů. Oznámení od společnosti SumUp týkající se porušení zabezpečení osobních údajů nebude považováno za uznání jakékoli chyby nebo odpovědnosti za takový incident ze strany společnosti SumUp. V případě porušení zabezpečení osobních údajů jste povinni přijmout příslušná zákonná opatření ve smyslu Údajů vašich zákazníků.

6. Další zpracovatelé. Tímto udělujete společnosti SumUp všeobecné oprávnění k najímání dalších zpracovatelů za účelem poskytování Služeb bez nutnosti získat dodatečné písemné nebo výslovné oprávnění. S každým dalším zpracovatelem uzavře společnost SumUp smlouvu, která zajistí dodržování podmínek zaručujících alespoň stejnou úroveň ochrany a zabezpečení, jakou stanoví tato DZOÚ, ze strany tohoto dalšího zpracovatele. Pokud máte k jakémukoli dalšímu zpracovateli výhrady, které jsou odůvodněné a souvisí s ochranou údajů, vynaložíme obchodně přiměřené úsilí, abychom zabránili zpracování Údajů vašich zákazníků ze strany namítaného dalšího zpracovatele. Nebudeme-li schopni provést takové navrhované změny v přiměřené lhůtě, upozorníme vás na to, a pokud budou vaše námitky vůči využívání takového dalšího zpracovatele stále platné, budete mít možnost zrušit svůj účet nebo ukončit jeho používání, případně používání těch částí Služeb, které zahrnují využívání tohoto dalšího zpracovatele.

7. Převádění osobních údajů. Zpracování Údajů vašich zákazníků bude probíhat na území Evropského hospodářského prostoru (dále jen „EHP“). Jakékoli převody údajů mimo EU/EHP a jejich zpracování mimo EU/EHP, při kterých není zajištěna ochrana dle požadavků Evropské komise, musí probíhat v souladu se standardními smluvními doložkami nebo jiným příslušným mechanismem zaručujícím adekvátní míru zabezpečení osobních údajů podle kapitoly V GDPR.

8. Audity. Jste oprávněni vyžádat si kontrolu povinností společnosti SumUp dle této DZOÚ, a to jedenkrát ročně. Pokud to od společnosti SumUp vyžadují platné zákony, lze audity jedenkrát ročně opakovat. Provedení auditu třetí stranou podléhá dohodě obou stran. Můžete nám však povolit provedení bezpečnostní kontroly nezúčastněnou třetí stranou dle našeho výběru, pokud se týká zpracování v prostředí, kde se zpracovávají údaje různých správců údajů. Pokud je navrhovaný rozsah auditu v souladu s ISO nebo podobným certifikátem a kontrola byla provedena oprávněným externím auditorem během posledních dvanácti měsíců, a pokud zároveň společnost SumUp potvrdí, že opatření podléhající kontrole nedoznala podstatných změn, budou tím uspokojeny veškeré požadavky za příslušné období. Audity nesmějí nepřiměřeně zasahovat do běžné činnosti společnosti SumUp. Veškeré náklady spojené s požadavkem na kontrolu auditu nesete vy sami.

9. Odpovědnost. Odpovědnost každé ze stran této DZOÚ podléhá výjimkám a omezením odpovědnosti stanoveným v Dalších podmínkách a/nebo Podmínkách. Souhlasíte s tím, že veškeré zákonné postihy nebo nároky ze strany subjektů údajů nebo jiných osob vzniklé společnosti SumUp nebo vůči ní vznesené v souvislosti s Údaji vašich zákazníků a v důsledku neplnění vašich povinností dle této DZOÚ nebo Platných zákonů o ochraně osobních údajů či ve spojení s takovým neplněním snižují nejvyšší celkovou odpovědnost společnosti SumUp vůči vám, jak stanoví Další podmínky a/nebo Podmínky, o částku rovnou hodnotě pokuty a/nebo nároku z odpovědnosti, který takovým způsobem vznikl.

10. Odstoupení. Tato DZOÚ platí po dobu, po kterou využíváte jakékoli Služby SumUp. Pokud je však společnost SumUp v souladu s podmínkami dle této DZOÚ nebo jakýmikoli Podmínkami společnosti SumUp povinna uchovávat Údaje vašich zákazníků po ukončení poskytování Služeb, zůstává tato DZOÚ v platnosti po dobu, po kterou bude společnost SumUp povinna uchovávat takové osobní údaje. Po ukončení používání Služeb a není-li společnost SumUp povinna uchovávat Údaje vašich zákazníků dle Dalších podmínek a/nebo Podmínek společnosti SumUp, jakékoli smlouvy nebo platných zákonů, vymaže společnost SumUp na základě vaší písemné žádosti Údaje vašich zákazníků v přiměřené lhůtě a v souladu s Podmínkami společnosti SumUp a platnými zákony.

11. Ostatní.

11.1 V případě rozporu mezi touto DZOÚ a jakýmikoli Dalšími podmínkami a/nebo Podmínkami společnosti SumUp převažují ustanovení této DZOÚ.

11.2 Odpovídáte za veškeré náklady a výdaje vzniklé z plnění vašich pokynů a požadavků ze strany společnosti SumUp v souladu s Dalšími podmínkami (včetně této DZOÚ), které nejsou zahrnuty do standardní funkce obecně poskytované společností SumUp prostřednictvím Služeb.

11.3 Společnost SumUp je oprávněna doplňovat a/nebo upravovat jakoukoli z podmínek dle této DZOÚ na základě občasných požadavků. Změny Dohody může společnost SumUp provádět samostatným Dodatkem nebo jiným viditelným způsobem a je povinna o nich neprodleně informovat.

11.4 Jakékoli dotazy týkající se této DZOÚ nebo jiných požadavků souvisejících se zpracováním osobních údajů zasílejte na adresu [email protected] Společnost SumUp se vynasnaží vyřešit veškeré stížnosti ohledně používání Údajů vašich zákazníků v souladu s touto DZOÚ, Podmínkami a interními směrnicemi společnosti SumUp.

11.5 Pokud jsou některá ustanovení DZOÚ považována za neplatná, nemá to vliv na její ostatní ustanovení. Obě strany nahradí neplatná ustanovení právoplatným ustanovením, které odpovídá účelu neplatného ustanovení.

11.6 Tato Dohoda a její výklad se řídí irským právem. Veškeré spory vzniklé z této Dohody nebo v souvislosti s ní budou ke konečnému rozhodnutí předávány irským soudům. Výjimku představují případy, kdy tento postup zakazuje právo EU.