Databehandleraftale

Ikrafttrædelsesdato 15/08/2022

Sidst opdateret 15/08/2022

Denne databehandleraftale ("DPA") udgør en del af og er underlagt bestemmelserne i SumUps e-handelsbetingelser ("aftalen", "yderligere betingelser"), privatlivspolitik og alle andre gældende SumUp-betingelser og vilkår (heri "betingelserne", "privatlivspolitik") indgået og aftalt af og mellem dig som SumUps forhandler ("dig", "den dataanvarlige") og SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland D02 K580 ("SumUp", "vi", "databehandler"), en del af SumUp S.A.R.L. koncernselskabet – SumUp Group.

Hver part er indforstået med og vil sikre, at vilkårene i denne DPA også gælder fuldt ud for dets tilknyttede virksomheder, som kan være involveret i behandlingen af personoplysninger for de tjenester, der er defineret i de yderligere vilkår. Specifikt vil SumUp sikre, at alle underdatabehandlere arbejder inden for de samme vilkår som denne DPA, når de behandler dine kundedata.

For at kunne give dig tjenesterne under de yderligere vilkår behandler SumUp data om kunder eller besøgende på dit websted eller dine tjenester ("dine kunder", "kunder"). SumUps behandling af sådanne data omtales i det følgende som "behandling" (efter begrebets definition i GDPR). Den følgende databehandleraftale angiver vilkårene for en sådan behandling af SumUp.

1. Definitioner

1.1 "Gældende databeskyttelseslovgivning" betyder forordning (EU) 2016/679 ("den generelle databeskyttelsesforordning", "GDPR", "forordningen") samt al anden gældende lovgivning, der regulerer behandlingen af personoplysninger, herunder f.eks. gældende e-databeskyttelsesdirektiv 2002/58/EF.

1.2 Begreberne "dataansvarlig""dataemne""personoplysninger", "behandling", "behandler" og "databehandler" har de samme betydninger som begreber under GDPR.

1.3. "Indhold" betyder dit indhold og alt indhold, der leveres til SumUp fra dine kunder, herunder, uden begrænsning, tekst, fotos, billeder, lyd, video, kode, information fra cookies eller lignende sporingsteknologier og andre materialer.

1.4. "Dine kunders data" betyder de personoplysninger i dine kunders indhold, som behandles af SumUp på dine vegne som en del af vores tjenester. Dine kunders data inkluderer ikke personoplysninger, hvor sådanne data er kontrolleret af SumUp.

Alle definitioner, der bruges i nærværende DPA, men som ikke har en eksplicit definition i dette afsnit, vil have den betydning, der er defineret i de yderligere vilkår. Hvis der ikke er nogen specifik definition i de yderligere vilkår eller vilkårene, vil deres betydning være den, der er angivet i GDPR eller i de andre gældende regler, hvis de ikke er defineret i forordningen.

2. Anvendelighed Denne DPA gælder kun for dine kunders data, og kun hvis GDPR er gældende. Du indvilliger i, at SumUp ikke kan gøres ansvarlig for personoplysninger, som du har valgt at lade behandle gennem tredjepartstjenester eller uden for vores tjenester, herunder systemer for enhver anden tredjeparts cloudtjenester, offline eller fysisk opbevaring.

3. Detaljer om databehandling

3.1 Genstand Genstanden for databehandlingen under denne DPA er dine kunders data.

3.2 Varighed. Varigheden af databehandlingen mellem dig og os under denne DPA bestemmes af dig og for den valgte periode, som du vælger at bruge vores tjenester.

3.3 Formål. Formålet med databehandlingen i henhold til denne DPA er levering og forbedring af de tjenester, der er iværksat af dig. 

3.4 Behandlingens art. Tjenesterne som beskrevet i de yderligere vilkår og som indledt af dig fra tid til anden.

3.5 Type af personoplysninger. Dine kunders data vedrørende dig, dine kunder eller andre personer, hvis personoplysninger er inkluderet i indhold, behandles som en del af tjenesterne i overensstemmelse med de givne instruktioner. Disse data inkluderer, men er ikke begrænset til, en kundes navn, e-mailadresse, mobil-/telefonnummer, fysisk adresse, bankoplysninger, transaktionshistorik, IP-adresse. Særlige kategorier af personoplysninger, herunder data vedrørende straffedomme og lovovertrædelser, anses for ikke at blive behandlet under tjenesterne. De er udelukket fra vilkårene i denne DPA. Hvis sådanne data behandles, mens du bruger vores tjenester, er dette uden SumUps viden, og du bør slette sådanne oplysninger omgående, så snart du har identificeret en sådan behandling.

3.6 Kategorier af dataemner. Du, dine kunder, dine kunders potentielle kunder og alle andre personer, hvis personoplysninger er inkluderet i indholdet.

4. Rettigheder og forpligtelser

4.1 I det omfang dine kunders data behandles af SumUp på dine vegne, og denne behandling er underlagt den generelle databeskyttelsesforordning (forordning (EU) 2016/679; "GDPR"), anerkender og accepterer du, at med henblik på levering af tjenesterne fra SumUp, er du dataansvarlig for sådanne personoplysninger, og ved at bruge SumUps tjenester har du instrueret SumUp i at behandle dine kunders data på dine vegne i henhold til denne DPA.

4.2 Du kan tilbagekalde godkendelsen af denne DPA på et hvilket som helst tidspunkt, men ved at gøre dette vil SumUp ikke længere være i stand til at tilbyde dig tjenesten.

4.3 SumUp i sin egenskab af behandler for personoplysninger:

A. behandler kun dine kunders data til de formål, der er specificeret i DPA'en og i overensstemmelse med den gældende lovgivning og DPA'en.

B. må kun handle og behandle dine kunders data i overensstemmelse med din dokumenterede instruktion, medmindre det er påkrævet ved lov, retskendelse eller lovgivningsmæssig foranstaltning, at handle uden en sådan instruktion. Din instruktion på tidspunktet for indgåelse af denne DPA er, at SumUp kun må behandle dine kunders data med det formål at levere tjenesterne som beskrevet i DPA'en og de yderligere vilkår. I henhold til vilkårene i denne DPA og med en gensidig aftale mellem begge parter kan du udstede yderligere skriftlige instruktioner i overensstemmelse med vilkårene i denne DPA.

C. garanterer, at de personer, der er bemyndiget til at behandle personoplysninger, har påtaget sig tavshedspligten eller er juridisk forpligtet til at opretholde tavshedspligten.

D. garanterer, at adgangen til personoplysningerne kun gives i det omfang, der er behov for det, i forhold til at kunne udføre tjenesterne i henhold til de yderligere vilkår.

E. er ansvarlig for at sikre, at medarbejdere/underleverandører og/eller eventuelle agenter, der behandler dine kunders data, kun behandler personoplysningerne i overensstemmelse med dine instruktioner.

F. informerer dig straks, hvis vi mener, at nogle af dine instruktioner er i modstrid med gældende databeskyttelseslovgivning.

G. er forpligtet til at beskytte dine kunders data i henhold til denne DPA mod enhver ødelæggelse, ændring, tab og enhver anden uautoriseret behandling. Til dette formål træffer SumUp passende sikkerhedsforanstaltninger i overensstemmelse med gældende lovgivning. Tekniske og organisatoriske foranstaltninger anvendt af SumUp afhænger af den tekniske udvikling. Det er derfor muligt, at SumUp vil introducere nogle alternative fornødne foranstaltninger. Det er ikke muligt at sænke niveauet af de definerede sikkerhedsforanstaltninger, når sådanne alternativer indføres. SumUp vil hjælpe dig med passende tekniske og organisatoriske foranstaltninger efter behov. Ligeledes vil SumUp bidrage til at sikre overholdelse af dine forpligtelser i henhold til den gældende databeskyttelseslovgivning i betragtning af behandlingens karakter og kategorien af de oplysninger, der er tilgængelige for SumUp.

H. efter din rimelige anmodning vil stille certificeringer til rådighed, der viser SumUps overholdelse af sine forpligtelser i henhold til denne DPA og gældende databeskyttelseslovgivning, og/eller stille oplysninger til rådighed, der er nødvendige for at påvise overholdelse af forpligtelser i henhold til denne DPA og gældende databeskyttelseslovgivning. De oplysninger, der skal stilles til rådighed af SumUp, er udelukkende begrænset til nødvendige oplysninger under hensyntagen til tjenesternes karakter og de oplysninger, der er tilgængelige for SumUp, for at kunne hjælpe dig med at overholde dine forpligtelser, især med hensyn til art. 32 og 36, GDPR (forpligtelser med hensyn til konsekvensvurderinger for databeskyttelse, forudgående høring og sikring af personoplysningernes sikkerhed).

I. vil hjælpe dig inden for en rimelig tidsramme med passende foranstaltninger og, som det er med rimelighed muligt i betragtning af behandlingens karakter, med at overholde rettighederne for dataemnerne og alle andre relevante forpligtelser i henhold til reglerne om databeskyttelse, herunder GDPR.

J. vil give dig besked, hvis det er tilladt i henhold til gældende lovgivning ved modtagelse af en forespørgsel eller klage fra en person, hvis personoplysninger er inkluderet i dit indhold, eller et bindende krav fra en regering, retshåndhævende myndighed, regulerende eller anden instans mht. dine kunders data, som vi behandler på dine vegne og instruktioner.

4.4 Du i egenskab af ansvarlig for personoplysninger:

A. vil indsamle, bruge og behandle personoplysninger i indholdet i overensstemmelse med enhver og al gældende databeskyttelseslovgivning.

B. har eneansvaret for nøjagtigheden, kvaliteten og den lovlige behandling af dine kunders data samt måden, hvorpå de blev skaffet.

C. sikrer det passende sikkerhedsniveau, når du bruger tjenesterne under hensyntagen til eventuelle risici angående dine kunders data.

D. anerkender, at enhver lagring og/eller overførsel, som du foretager af dine kunders data til enhver tredjepart eller platform, bortset fra SumUp, er på egen risiko og eget ansvar.

E. sikrer, at dine instruktioner med hensyn til behandling af personoplysninger overholder alle love og regler, der gælder i relation til dine kunders data. Du vil også sikre, at behandlingen af dine kunders data i overensstemmelse med dine instruktioner ikke vil forårsage eller resultere i, at vi eller du overtræder nogen love, regler eller bestemmelser (herunder GDPR).

5. Underretninger om databrud Parten skal straks informere den anden part (senest 48 timer) efter, at den bliver opmærksom på et brud på persondatasikkerheden i relation til personoplysninger, der behandles i henhold til denne DPA. SumUp vil hjælpe dig med at overholde dine underretningsforpligtelser i henhold til artikel 33 og 34 i GDPR og give dig oplysninger om bruddet i det omfang, som vi med rimelighed er i stand til at videregive til dig under hensyntagen til tjenesternes karakter, de oplysninger, der er tilgængelige for os og eventuelle restriktioner for videregivelse af oplysningerne, såsom for fortrolighed. På trods af ovenstående gælder SumUps forpligtelser i henhold til dette afsnit ikke for hændelser, der er forårsaget af dig, enhver aktivitet på din konto og/eller tredjepartstjenester. SumUp er forpligtet til at samarbejde og støtte dig omkring efterforskningen, minimering af de negative konsekvenser og afhjælpning af persondatabruddet samt forebyggelse af fremtidige lignende databrud. SumUps underretning om et brud på persondatasikkerheden vil ikke blive betragtet som en anerkendelse fra SumUp som værende ansvarlig for nogen fejl i forbindelse med en sådan hændelse. I tilfælde af et brud på persondatasikkerheden er du forpligtet til at træffe de foranstaltninger, der kræves i henhold til gældende lovgivning i forbindelse med dine kunders data.

6. Underbehandlere Herved giver du SumUp en generel tilladelse til at beskæftige underdatabehandlere til at levere tjenesterne uden at indhente en yderligere skriftlig, specifik godkendelse. SumUp vil effektuere en aftale med enhver underdatabehandler, der sikrer, at en sådan underdatabehandler overholder vilkår, der sikrer mindst samme niveau af beskyttelse og sikkerhed som dem, der er angivet i denne DPA. Hvis du gør indsigelse mod en underdatabehandler, og din indsigelse er rimelig og relateret til problemer med databeskyttelse, vil vi tage forretningsmæssige rimelige initiativer til finde en løsning, således pågældende underdatabehandler ikke behandler dine kunders data. Hvis vi ikke er i stand til at opfylde ændringerne til din indsigelse inden for en rimelig tidsperiode, giver vi dig besked. Hvis du stadig gør indsigelse mod vores brug af en sådan underdatabehandler, kan du enten opsige eller lukke din konto. Hvis det er muligt, kan du også afslutte de tjenester, der omfatter brugen af en sådan underdatabehandler.

7. Overførsel af personoplysninger Behandlingen af dine kunders data skal finde sted inden for Det Europæiske Økonomiske Samarbejdsområde ("EØS"). Enhver overførsel til og behandling i et tredjeland uden for EU/EØS, som ikke sikrer et tilstrækkeligt beskyttelsesniveau ifølge Europa-Kommissionen, skal foretages i overensstemmelse med paragrafferne for standardkontrakter eller anden passende mekanisme, der garanterer et passende niveau af beskyttelse af personoplysninger i henhold til kravene i kapitel 5 i GDPR.

8. Revisioner Du er berettiget til at indlede en gennemgang af SumUps forpligtelser i henhold til denne DPA én gang om året. Hvis SumUp er forpligtet til at gøre det i henhold til gældende lovgivning, kan revisioner gentages en gang om året. Begge parter beslutter sammen, om en tredjepart skal udføre revisionen. Du kan dog give os lov til at få sikkerhedsrevisionen udført af en neutral tredjepart efter vores valg, hvis det er et behandlingsmiljø, hvor flere dataansvarliges data behandles. Hvis omfanget af den foreslåede revision følger efter en lignende ISO-certificeringsrapport eller tilsvarende type, udført af en kvalificeret tredjepartsekspert inden for de seneste 12 måneder, og SumUp bekræfter, at der ikke er materielle ændringer i de gennemgåede foranstaltninger, dækkes eventuelle anmodninger inden for denne tidsramme heraf. Revisionen må ikke på urimelig måde forstyrre SumUps normale forretningsaktiviteter. Du er ansvarlig for alle omkostninger forbundet med din anmodning om revision.

9. Ansvar Hver parts ansvar i henhold til denne DPA er underlagt de undtagelser og ansvarsbegrænsninger, der er angivet i de yderligere vilkår og/eller vilkår. Du accepterer, at eventuelle regulerende sanktioner eller krav fra dataemner eller andre, som er pådraget af SumUp i relation til dine kunders data, der opstår som følge af eller i forbindelse med din manglende overholdelse af dine forpligtelser i henhold til denne DPA eller den gældende databeskyttelseslov, skal reducere SumUps maksimale samlede ansvar over for dig i henhold til de yderligere vilkår og/eller vilkårene med samme beløb som den bøde og/eller det ansvar, vi pådrager os som følge heraf.

10. Opsigelse Denne DPA er gældende, så længe du bruger nogle af SumUps tjenester. Hvis SumUp dog i henhold til vilkårene i denne DPA eller nogen af SumUps vilkår og betingelser er forpligtet til at opbevare dine kunders personoplysninger efter opsigelsen af tjenesterne, skal denne DPA fortsætte med at være i kraft, så længe SumUp er påkrævet at opbevare sådanne personoplysninger. Ved opsigelse af brugen af tjenesterne, og medmindre SumUp er forpligtet til at opbevare dine kunders data i henhold til SumUps yderligere vilkår og/eller vilkår, enhver aftale eller gældende lovgivning, skal SumUp, herunder efter skriftlig anmodning fra dig, slette dine kunders data så hurtigt, som det er praktisk muligt og i henhold til SumUps vilkår og gældende love.

11. Diverse

11.1 I tilfælde af modstrid mellem denne DPA og nogen af SumUps yderligere vilkår og/eller vilkår er bestemmelserne i denne DPA gældende.

11.2 Du er ansvarlig for alle omkostninger og udgifter, der opstår som følge af SumUps overholdelse af dine instruktioner eller anmodninger i henhold til de yderligere vilkår (inklusive denne DPA), som falder uden for den standardfunktion, som SumUp generelt gør tilgængelig via tjenesterne.

11.3 SumUp har ret til at ændre og/eller justere vilkårene i denne DPA, som det fra tid til anden måtte være påkrævet. Ændringer i aftalen kan foretages af SumUp i et separat bilag eller på anden synlig vis og vil blive kommunikeret på passende måde.

11.4 Eventuelle spørgsmål vedrørende denne DPA eller andre anmodninger om behandling af personoplysninger skal rettes til os på [email protected] SumUp vil forsøge at løse eventuelle klager vedrørende brugen af dine kunders data i overensstemmelse med denne DPA, vilkårene og SumUps interne politikker.

11.5 Hvis bestemmelserne i DPA'en anses for at være ugyldige, påvirkes de øvrige bestemmelser ikke heraf. Parterne skal udskifte ugyldige bestemmelser med en juridisk bestemmelse, der afspejler formålet med den ugyldige bestemmelse.

11.6 Denne aftale skal være underlagt og fortolket i overensstemmelse med irsk lov. Enhver tvist, der opstår som følge af eller i forbindelse med aftalen, skal endeligt henvises til og afgøres af domstolene i Irland, medmindre det er forbudt i henhold til EU-lovgivningen.