Aftale om databehandling

Gældende fra 16/01/2023

Ændret per 16/01/2023

Denne databehandleraftale ("DPA") er en del af og er underlagt bestemmelserne i de specifikke SumUp-vilkår,  der gælder for den eller de tjenester, som du måtte bruge ("yderligere vilkår") og alle andre gældende SumUp-vilkår og -betingelser, herunder, men ikke begrænset til, SumUps generelle vilkår (heri de samlede "vilkår") indgået og aftalt af og mellem dig som SumUps forhandler ("dig", "dataansvarlig") og SumUps enhed for kontraktlige forhold som angivet i de gældende yderligere vilkår ("SumUp", "vi", "databehandler"), en del af SumUp S.A.R.L. Koncernselskaber – SumUp Group.

For at kunne give dig tjenesterne i henhold til de yderligere vilkår behandler SumUp dine medarbejderes, kunders og/eller besøgendes og kunders data til din butik, websted og/eller brugere af dine tjenester ("dine kunder", "kunder", "slutkunder"). SumUps behandling af sådanne data omtales i det følgende som "behandling" (da vilkåret er defineret i den gældende databeskyttelseslovgivning). Følgende DPA angiver vilkårene for en sådan behandling af SumUp.

Hver part er indforstået med og vil sikre, at vilkårene i denne DPA også gælder fuldt ud for dets tilknyttede selskaber, som kan være involveret i behandlingen af personoplysninger for de tjenester, der er defineret i de yderligere vilkår. Specifikt vil SumUp sikre, at alle underdatabehandlere arbejder inden for de samme vilkår som denne DPA, når de behandler dine kundedata.

1. Definitioner

1.1 Den "gældende databeskyttelseslovgivning" vedrører alle love for behandling af personoplysninger i henhold til de yderligere vilkår, vilkårene og DPA'en, herunder og uden begrænsning til databeskyttelsesloven 2018, EU's generelle databeskyttelsesforordning 2016/679 (“GDPR", "forordningen") og EU's privatlivs- og elektroniske kommunikationsdirektiv 2002/58/EC, som er implementeret i hvert ressort, herunder også alle ændringer eller andre gældende/erstattende internationale, regionale eller nationale databeskyttelseslove, forordninger og regulerende vejledning.

1.2 Betegnelserne "dataansvarlig", "dataregistrerede", "personoplysninger", "behandling", og "databehandler" er tildelt betydningen fra vilkårene i den gældende databeskyttelseslovgivning.

1.3 "Indhold" betyder dit indhold og alt indhold, der leveres til SumUp fra dine kunder, herunder og uden begrænsning: tekst, fotos, billeder, lyd, video, kode, information fra cookies eller lignende sporingsteknologier og andre materialer.

1.4 "Dine data" og "dine kunders data" indebærer de personoplysninger i indholdet, som er behandlet af SumUp på dine vegne som en del af tjenesterne og/eller dine medarbejdere, revisorer og/eller kunders data, som er behandlet på dine vegne for udførelsen af tjenesterne. Dine kunders data inkluderer ikke personoplysninger, hvis sådanne data er kontrolleret af SumUp i henhold til denne DPA og SumUps privatlivspolitik. 

1.5 Alle definitioner, der bruges i den aktuelle DPA, men som ikke har en tydelig definition i dette afsnit, vil have den betydning, der er defineret i de yderligere vilkår. Hvis der ikke er nogen specifik definition i de yderligere vilkår eller vilkårene, vil deres betydning være den, der er givet i den gældende databeskyttelseslovgivning.

2. Anvendelighed. Denne DPA gælder kun for dine kunders data, som behandles af SumUp på dine vegne med det formål at levere tjenesterne. Du indvilliger i, at SumUp ikke kan gøres ansvarlig for personoplysninger, som du har valgt at lade behandle gennem tredjepartstjenester eller uden for vores tjenester, herunder systemer for enhver anden tredjeparts cloudtjenester, offline eller fysisk opbevaring.

3. Databehandlingsdetaljer. SumUp behandler personoplysninger i overensstemmelse med bilag 1 hertil.

4. Rettigheder og forpligtelser

4.1 I det omfang dine kunders data behandles af SumUp på dine vegne, og denne behandling er underlagt den gældende databeskyttelseslovgivning, anerkender og accepterer du, at du er den dataansvarlige for sådanne personoplysninger med henblik på levering af tjenesterne fra SumUp, og ved at bruge SumUps tjenester har du instrueret SumUp i at behandle dine kundedata på dine vegne i henhold til denne DPA.

4.2 Du kan tilbagekalde godkendelsen af denne DPA på et hvilket som helst tidspunkt, men ved at gøre dette vil SumUp ikke længere være i stand til at tilbyde dig tjenesten.

4.3 SumUp i sin egenskab af behandler for personoplysninger:

A. behandler kun dine kunders data til de formål, der er specificeret i DPA'en og i overensstemmelse med den gældende lovgivning og DPA'en.

B. må kun handle og behandle dine kunders data i overensstemmelse med din dokumenterede instruktion, medmindre det er påkrævet ved lov, retskendelse eller lovgivningsmæssig foranstaltning at handle uden en sådan instruktion. Din instruktion på tidspunktet for indgåelse af denne DPA er, at SumUp kun må behandle dine kunders data med det formål at levere tjenesterne som beskrevet i DPA'en og de yderligere vilkår. I henhold til vilkårene i denne DPA og med en gensidig aftale mellem begge parter kan du udstede yderligere skriftlige instruktioner i overensstemmelse med vilkårene i denne DPA.

C. garanterer, at de personer, der er bemyndiget til at behandle personoplysninger, har påtaget sig tavshedspligt eller er juridisk forpligtet til at opretholde tavshedspligten.

D. garanterer, at adgangen til personoplysningerne kun gives i det omfang, der er behov for det, således at tjenesterne kan udføres i henhold til de yderligere vilkår.

E. er ansvarlig for at sikre, at medarbejdere/underleverandører og/eller eventuelle agenter, der behandler dine kunders data, kun behandler personoplysningerne i overensstemmelse med dine instruktioner.

F. vil informere dig med det samme, hvis vi mener, at nogle af dine instruktioner er i modstrid med gældende databeskyttelseslovgivning.

G. er forpligtet til at beskytte dine kunders data i henhold til denne DPA mod enhver ødelæggelse, ændring, tab eller enhver anden uautoriseret behandling. Til dette formål træffer SumUp passende sikkerhedsforanstaltninger i overensstemmelse med gældende lovgivning. Det er derfor muligt, at SumUp vil introducere nogle alternative fornødne foranstaltninger. Det er ikke muligt at sænke niveauet af de definerede sikkerhedsforanstaltninger, når sådanne alternativer indføres. SumUp vil hjælpe dig med passende tekniske og organisatoriske foranstaltninger efter behov. Ligeledes vil SumUp bidrage til at sikre overholdelse af dine forpligtelser i henhold til den gældende databeskyttelseslovgivning i betragtning af behandlingens karakter og kategorien af de oplysninger, der er tilgængelige for SumUp.

H. efter din rimelige anmodning vil stille certificeringer til rådighed, der viser SumUps overholdelse af sine forpligtelser i henhold til denne DPA og gældende databeskyttelseslovgivning, og/eller stille oplysninger til rådighed, der er nødvendige for at påvise overholdelse af forpligtelser i henhold til denne DPA og gældende databeskyttelseslovgivning. De oplysninger, der skal stilles til rådighed af SumUp, er udelukkende begrænset til oplysninger, der er nødvendige ifølge SumUp, under hensyntagen til tjenesternes art og de oplysninger, der er tilgængelige for SumUp for at hjælpe dig med at overholde dine forpligtelser, særligt med henblik på forpligtelser i forbindelse med påvirkningsvurderinger af databeskyttelse, forudgående høringer og sikring af personoplysningernes sikkerhed.

I. vil hjælpe dig inden for en rimelig tidsramme med passende foranstaltninger og, som det er rimeligt muligt (i betragtning af behandlingens art), med at overholde de registreredes rettigheder og alle andre relevante forpligtelser i henhold til gældende databeskyttelseslovgivning.

J. vil give dig besked, hvis tilladt i henhold til gældende lovgivning, ved modtagelse af en forespørgsel eller klage fra en person, hvis personoplysninger er behandlet i overensstemmelse med DPA'en eller et bindende krav fra en regering, retshåndhævende myndighed, regulerende eller anden instans angående dine kunders data, som vi behandler på dine vegne og instruktioner.

4.4 Du i egenskab af ansvarlig for personoplysninger:

A. vil indsamle, bruge og behandle personoplysninger i overensstemmelse med al gældende databeskyttelseslovgivning.

B. har det fulde ansvar for rigtigheden, kvaliteten og den lovlige behandling af dine kunders data samt måden, hvorpå de blev skaffet.

C. sikrer et passende sikkerhedsniveau, når du bruger tjenesterne og tager eventuelle risici angående dine kunders data i betragtning.

D. anerkender, at enhver lagring og/eller overførsel, som du foretager af dine kunders data til enhver tredjepart eller platform anden end SumUp, er på egen risiko og eget ansvar.

E. sikrer, at dine instruktioner med hensyn til behandling af personoplysninger overholder alle love og regler, der gælder i relation til dine kunders data. Du sikrer også, at behandlingen af dine kunders data er i overensstemmelse med dine instruktioner og ikke vil forårsage eller resultere i, at vi eller du overtræder nogen love, forskrifter eller regler.

f. giver dine kunder de nødvendige oplysninger omkring, hvordan og hvorfor deres data behandles i henhold til kravene i den gældende databeskyttelseslovgivning.

5. Underretninger om databrud. Parten skal straks, men ikke senere end 48 timer efter, informere den anden part , hvis den bliver opmærksom på et brud på persondatasikkerheden i forbindelse med behandlede personoplysninger i henhold til denne DPA.  SumUp vil hjælpe dig med at overholde dine forpligtelser til at underrette om databrud, give dig alle oplysninger om bruddet, som vi med rimelighed er i stand til at videregive til dig under hensyntagen til tjenesternes art, de oplysninger, der er tilgængelige for os og eventuelle restriktioner for videregivelse af oplysningerne, såsom på grund af fortrolighedskrav. På trods af ovenstående gælder SumUps forpligtelser i henhold til dette afsnit ikke for hændelser, der er forårsaget af dig, enhver aktivitet på din konto og/eller tredjepartstjenester. SumUp er forpligtet til at samarbejde og støtte dig omkring efterforskningen, minimering af de negative konsekvenser og afhjælpning af persondatabruddet samt forebyggelse af fremtidige lignende databrud. SumUps underretning om et brud på persondatasikkerheden vil ikke blive betragtet som en anerkendelse fra SumUp som værende ansvarlig for nogen fejl i forbindelse med en sådan hændelse. I tilfælde af et brud på persondatasikkerheden er du forpligtet til at træffe de foranstaltninger, der kræves i henhold til gældende lovgivning i forbindelse med dine kunders data.

6. Underdatabehandlere. Herved giver du SumUp en generel tilladelse til at beskæftige underdatabehandlere til at levere tjenesterne uden at indhente en yderligere skriftlig eller specifik bemyndigelse. SumUp vil effektuere en aftale med enhver underdatabehandler, der sikrer, at en sådan underdatabehandler overholder vilkår, der sikrer mindst samme niveau af beskyttelse og sikkerhed som dem, der er angivet i denne DPA. Hvis du gør indsigelse mod en underdatabehandler, og din indsigelse er rimelig og relateret til problemer med databeskyttelse, vil vi tage forretningsmæssige rimelige initiativer til finde en løsning, således pågældende underdatabehandler ikke behandler dine kunders data. Hvis vi ikke er i stand til at gøre disse foreslåede ændringer tilgængelige inden for en rimelig periode, giver vi dig besked. Hvis du stadig gør indsigelse mod vores brug af nævnte underdatabehandler, kan du slutte eller opsige din konto eller om muligt tjenester, der involverer brug af nævnte underdatabehandler.

7. Overførsel af personoplysninger. Behandlingen af dine kunders data skal finde sted inden for Det Europæiske Økonomiske Samarbejdsområde ("EØS") og Storbritannien. Enhver overførsel til og behandling i et tredjeland uden for EU/EØS og Storbritannien, som ikke sikrer et tilstrækkeligt beskyttelsesniveau - vedtaget britisk tilstrækkelighedsforordning i henhold til den gældende databeskyttelseslovgivning skal udføres i overensstemmelse med standardkontraktlige klausuler eller andre passende anordninger, der garanterer et tilstrækkeligt niveau af persondatasikkerhed i overensstemmelse med bestemmelserne i den gældende databeskyttelseslovgivning.

8. Revisioner. Du er berettiget til at indlede en gennemgang af SumUps forpligtelser i henhold til denne DPA én gang om året. Begge parter beslutter sammen, om en tredjepart skal udføre revisionen. Du kan dog give os tilladelse til at få sikkerhedsgennemgangen udført af en neutral tredjepart efter vores valg. Hvis omfanget af den foreslåede revision følger efter en lignende ISO-certificeringsrapport eller tilsvarende type, udført af en kvalificeret tredjepartsekspert inden for de seneste 12 måneder, og SumUp bekræfter, at der ikke er materielle ændringer i de gennemgåede foranstaltninger, vil dette tilfredsstille eventuelle anmodninger modtaget inden for denne tidsramme. Revisionen må ikke på urimelig måde forstyrre SumUps normale forretningsaktiviteter. Du er ansvarlig for alle omkostninger forbundet med din anmodning om revision. SumUp indvilliger en gang om året efter forudgående skriftlig anmodning fra den dataansvarlige og i det omfang, det kræves i henhold til den gældende databeskyttelseslovgivning, i at samarbejde og inden for rimelig tid at give den dataansvarlige:

(a) et resumé af revisionsrapporter, der demonstrerer effektiviteten af tekniske og organisatoriske foranstaltninger truffet af SumUp mod uautoriseret eller ulovlig behandling af personoplysninger og mod uautoriseret adgang til utilsigtet tab, ødelæggelse af eller beskadigelse af personoplysninger og

(b) bekræftelse af, at revisionen ikke afslørede nogen væsentlig sårbarhed i SumUps systemer, eller i det omfang en sådan sårbarhed blev opdaget, at SumUp fuldstændigt  udbedrede en sådan sårbarhed.

Hvis ovenstående foranstaltninger er for mangelfulde til at bekræfte overholdelse af den gældende databeskyttelseslovgivning eller afsløre nogle væsentlige problemer, kan den dataansvarlige med et mindst tredive (30)-dages skriftligt varsel til SumUp anmode om en revision af SumUps databeskyttelsesprogram af eksterne uafhængige revisorer. Begge parter bør i fællesskab vælge revisorerne og vil gensidigt blive enige om omfanget, tidspunktet og varigheden af revisionen. Den dataansvarlige skal træffe alle rimelige foranstaltninger for at begrænse enhver negativ indvirkning på SumUp deraf og er ansvarlig for alle omkostninger forbundet med sin anmodning om en revisionsgennemgang samt omkostninger, der kommer fra eventuelle i givet fald negative påvirkninger. Den dataansvarlige vil stille resultatet af revisionen af SumUps databeskyttelsesprogram til rådighed til selvsamme.

9. Ansvar. Hver parts ansvar i henhold til denne DPA er underlagt de undtagelser og begrænsninger af ansvar, der er angivet i de yderligere vilkår og/eller vilkår. Du accepterer at forsvare og holde SumUp skadesløs for enhver pris, ethvert krav, skader eller udgifter pådraget af SumUp, eller som SumUp kan blive holdt ansvarlig for på grund af manglende overholdelse af forpligtelserne i henhold til denne DPA af dig, dine medarbejdere eller agenter.

10. Opsigelse. Denne DPA er gældende, så længe du bruger nogle af SumUps tjenester. SumUp skal ved opsigelse af brugen af tjenester herunder efter skriftlig anmodning fra dig slette dine kunders data så hurtigt, som det er praktisk muligt og i henhold til SumUps vilkår og gældende love, medmindre SumUp er forpligtet til at opbevare dine kunders data i henhold til SumUps yderligere vilkår og/eller vilkår, enhver slags aftale eller gældende lovgivning.

11. Aggregerede anonyme data. Du anerkender og accepterer, at SumUp kan behandle aggregerede data af enhver art, der vedrører dig og dine kunder, inklusive servicebrugsdata. Kunden anerkender, accepterer og giver hermed samtykke til, at SumUp kan bruge disse aggregerede anonyme data (uden at denne liste er fuldstændig) til at analysere, forbedre og drive sine tjenester og generelt til enhver kommerciel aktivitet i hele DPA'ens varighed, men også efter dets opsigelse for at bidrage til markedsanalyser, producere statistik, forbedre sine produkter og tjenester og deres sikkerhed fulgt af god industriel praksis og/eller anbefalinger.

12. Diverse

12.1 I tilfælde af modstrid mellem denne DPA og nogen af SumUps yderligere vilkår og/eller vilkår har bestemmelserne i denne DPA forrang.

12.2 Du er ansvarlig for alle omkostninger og udgifter, der opstår som følge af SumUps overholdelse af dine instruktioner eller anmodninger i henhold til de yderligere vilkår (inklusive denne DPA), som falder uden for den standardfunktion, som SumUp generelt gør tilgængelig via tjenesterne.

12.3 SumUp har ret til at ændre og/eller justere vilkårene i denne DPA, som det fra tid til anden måtte være påkrævet. Ændringer til DPA'en vil blive kommunikeret på behørig vis og lavet af SumUp i et separat bilag eller på en anden synlig måde, herunder offentliggørelse af en opdateret version af DPA'en på vores hjemmeside. Tekstforklaringen "Sidst ændret" øverst i denne DPA angiver, hvornår denne DPA sidst blev revideret.

12.4 Eventuelle spørgsmål vedrørende denne DPA eller andre anmodninger om behandling af personoplysninger skal rettes til os på [email protected]. SumUp vil forsøge at løse eventuelle klager vedrørende brugen af dine kunders data i overensstemmelse med denne DPA, vilkårene og SumUps interne politikker.

12.5 Hvis bestemmelserne i DPA'en anses for at være ugyldige, påvirkes de øvrige bestemmelser ikke heraf. Parterne skal udskifte ugyldige bestemmelser med en juridisk bestemmelse, der afspejler formålet med den ugyldige bestemmelse.

12.6 Denne DPA skal styres og fortolkes i overensstemmelse med den lov, der regulerer de yderligere gældende vilkår.

Bilag nr. 1

1. Sagens genstand. Databehandlingen er sagens genstand under denne DPA.

2. Formål og karakter af behandlingen. Formålet med databehandlingen i henhold til denne DPA er levering og forbedring af de tjenester, der er påbegyndt af dig.

3. Varighed. Varigheden af databehandlingen mellem dig og os under denne DPA bestemmes af dig og for den valgte periode, som du vælger at bruge vores tjenester.

4. Kategorier af registrerede. Dine kunder, dine kunders potentielle kunder, dine medarbejdere, revisorer (til fakturering og revision) og/eller andre personer, hvis personlige data er inkluderet i indholdet. For gavekort, gavekortkøbere og/eller gavekortmodtagere eller andre personer, hvis personoplysninger behandles som en del af tjenesterne for gavekort i overensstemmelse med de yderligere vilkår og SumUps vilkår.

5. Typer af persondata. Dine kunders data behandles som en del af tjenesterne i overensstemmelse med vilkårene og de givne instruktioner. Disse data kan variere afhængigt af de benyttede tjenester og kan omfatte, men er ikke begrænset til:

Netbutik

Dine kunders navne, e-mailadresser, mobil-/telefonnumre, fysiske adresser, betalingsoplysninger, transaktions-/ordrehistorik, IP-adresser, information fra cookies og lignende teknologier, markedsføringspræferencer. 

Gavekort

Navne og e-mailadresser på indkøbs- og gavekortmodtagende kunder, gavekortbeløb og gavekortbeskeder.

Fakturering og revision

Navne, fysiske adresser, mobil-/telefonnumre, e-mail-adresser, kontonumre og/eller bankoplysninger, fakturaens emne, transaktions-/ordredata, status på fakturaerne. 

For kassesystemer

Navne, fysiske adresser, mobil-/telefonnumre, e-mail-adresser, transaktions-/ordredata, kommentarer, for dine medarbejdere - personalenummer, loginoplysninger, IP-adresse, rolle, e-mail, ordrer, sprogpræferencer. 

Særlige kategorier af personoplysninger, herunder data vedrørende straffedomme og lovovertrædelser, vurderes til ikke at skulle behandles under tjenesterne. De er udelukket fra vilkårene i denne DPA. Hvis sådanne data behandles, mens du bruger vores tjenester, er dette uden SumUps viden, og du bør slette sådanne oplysninger omgående, så snart du har identificeret en sådan behandling.