Andmete töötlemise leping

Kehtiv alates 15.08.2022

Viimati värskendatud 15.08.2022

See andemete töötlemise leping („DPA“) on osa ja sellele rakendatakse SumUpi e-kaubanduse tingimusi („leping“ ja „täiendavad tingimused“), privaatsusreegleid ja muid asjakohaseid SumUpi reegleid ja tingimusi („tingimused“, „privaatsusreeglid“), mille olete meiega sõlminud ja millega olete nõustunud SumUpi kaupmehena („teie“, „vastutav töötleja“) ettevõttega SumUp EU Payments UAB, Konstitucijos ave. 21B, 08130 Vilnius, Leedu („SumUp“, „meie“, „andmetöötleja“), mis on osa grupist SumUp S.A.R.L. Group Companies – SumUpi grupp.

Kõik pooled nõustuvad ja tagavad, et selle andmete töötlemise lepingu tingimused on rakendatavad poolte sidusettevõtetele, kes võivad täiendavates tingimustes määratletud teenuste osutamise eesmärgil isikuandmeid töödelda. SumUp tagab, et kõik alamtöötlejad tegutsevad teie klientide andmete töötlemisel selle andmete töötlemise lepingu tingimustel.

Teile täiendavate tingimuste kohaste teenuste pakkumiseks töötleb SumUp teie saidi või teenuste klientide või külastajate („teie kliendid“, „kliendid“) andmeid. Sellist andmete SumUpi poolset töötlemist nimetatakse edaspidi „isikuandmete töötlemiseks“ (isikuandmete kaitse üldmääruse terminoloogia kohaselt). Järgnev andmete töötlemise leping kehtestab tingimused isikuandmete töötlemiseks SumUpi poolt.

  1. Mõisted

1.1. „Rakendatavad andmekaitse õigusaktid“ tähendab määrust (EL) 2016/679 („isikuandmete üldkaitsemäärus“, „GDPR“, „määrus“) ja kõiki muid rakendatavaid õigusakte, mis reguleerivad isikuandmete töötlemist e-privaatsuse direktiivi 2002/58/EÜ kohaselt.

1.2. Terminitel „vastutav töötleja“„andmesubjekt“„isikuandmed“„protsess“„töötlemine“ ja „töötleja“ on isikuandmete üldmääruses antud tähendused.

1.3. „Sisu“ tähendab teie sisu ja mistahes sisu, mida SumUp pakub teie klientidele, muu hulgas ja piiranguteta teksti, fotosid, kujutisi, heli, videomaterjali, koodi, teavet küpsistest või sarnastest jälgimistehnoloogiatest ning mistahes muud materjali.

1.4. „Teie klientide andmed“ tähendab sisus kasutatud teie klientide isikuandmeid, mida SumUp töötleb teenuste pakkumisel teie nimel. Teie klientide andmeid ei hõlma isikuandmeid, kui nende vastutavaks töötlejaks on SumUp. Kõik selles andmete töötlemise lepingus kasutatud mõisted, millel ei ole selles jaotises selgesõnalist määratlust, on määratletud täiendavates tingimustes. Kui mõiste täiendavates tingimustes määratletud ei ole, on need määratletud isikuandmete kaitse üldmääruses või muudes rakendatavates reeglites, kui määruses tähendust antud ei ole.

2. Kohaldatavus. See andmete töötlemise leping kehtib ainult teie klientide andmete töötlemisele ja ainult olukordades, kus rakendatakse isikuandmete töötlemise üldmäärust. Nõustute, et SumUp ei vastuta isikuandmete eest, mida olete otsustanud töödelda kolmanda poole teenustes või väljaspool teenuseid, muu hulgas süsteemides või muudes kolmanda poole pilveteenustes, võrgust väljas või kohapeal salvestades.

3. Isikuandmete töötlemise üksikasjad

3.1. Konkreetne töötlemine. Selle andmete töötlemise lepingu kohaselt töödeldakse konkreetselt teie klientide andmeid.

3.2. Kestus. Meie ja teie vahelise kokkuleppe kohaselt sõltub selle andmete töötlemise lepingu kohase andmete töötlemise kestus teist ja perioodist, mille jooksul otsustate meie teenuseid kasutada.

3.3. Eesmärk. Selle andmete töötlemise lepingu kohase andmete töötlemise eesmärgiks on teie küsitud teenuste pakkumine ja täiustamine. 

3.4. Isikuandmete töötlemise laad. Teenused, nagu on kirjeldatud täiendavates tingimustes ja mida teie küsite.

3.5. Isikuandmete liik. Teie klientide teiega seotud andmed, teie klientide või muude isikute sisus kasutatud isikuandmed, mida töödeldakse teenuste raames teie juhiste kohaselt. Need andmed hõlmavad muu hulgas teie klientide nime, e-posti aadressi, mobiiltelefoni/tavatelefoni numbrit, füüsilist aadressi, pangaandmeid, tehingute ajalugu, IP-aadressi. Isikuandmete eriliike, andmeid, mis puudutavad kriminaalkaristusi ja -rikkumisi, teenuste raames ei töödelda ja need ei ole selle andmete töötlemise lepinguga hõlmatud. Kui selliseid andmeid teenuste kasutamisel töödeldakse, tehakse seda SumUpi teadmata ja peaksite asjakohased andmed nende töötlemise tuvastamisel viivitamatult kustutama.

3.6. Andmesubjektide kategooriad. Teie, teie kliendid, teie klientide võimalikud kliendid ja muud isikud, kelle isikuandmeid sisu hõlmab.

4. Andmed ja kohustused

4.1. Ulatuses, mil SumUp töötleb teie klientide andmeid teie nimel ja kui sellisele töötlemisele rakendatakse isikuandmete kaitse üldmäärust [määrus (EL) 2015/679; „GDPR“], kinnitate ja nõustute, et SumUpi teenuste pakkumise kontekstis olete teie selliste isikuandmete vastutav töötleja ning SumUpi teenuseid kasutades olete andnud SumUpile juhised teie klientide isikuandmete töötlemiseks teie nimel ja selle andmete töötlemise lepingu kohaselt.

4.2. Saate selle andmete töötlemise lepingu nõusoleku igal ajal tagasi võtta aga sellisel juhul ei ole SumUpil teile enam teenuseid osutada võimalik.

4.3. SumUp, isikuandmete töötlejana:

A. Töötleb teie klientide isikuandmeid ainult andmete töötlemise lepingus määratletud eesmärkidel, rakendatava õiguse ning andmete töötlemise lepingu kohaselt.

B. Kasutab ja töötleb teie klientide andmeid ainult teie dokumenteeritud juhiste kohaselt, kui seadusega, kohtumäärusega või muude seaduslike meetmetega ei ole ette nähtud tegutsemist ilma selliste juhisteta. Teie juhised, selle andmete töötlemise lepingu sõlmimise hetkel, näevad ette, et SumUp võib teie klientide andmeid töödelda ainult andmete töötlemise lepingus ja täiendavates tingimustes kirjeldatud teenuste pakkumise eesmärgil. Selle andmete töötlemise lepingu kohaselt ja poolte vastastikusel kokkuleppel võite anda täiendavaid kirjalikke juhiseid selle andmete töötlemise lepingu tingimustel.

C. Garanteerib, et isikuandmete töötlemiseks volitatud isikutel on konfidentsiaalsuskohustus või seaduslik kohustus konfidentsiaalsuse tagamiseks.

D. Garanteerib, et juurdepääs isikuandmetele antakse vajaduspõhiselt ja seoses täiendavates tingimustes sätestatud teenuste osutamisega.

E. Vastutab, et teie klientide isikuandmeid töötlevad töötajad/alamtöötlejad ja/või esindajad töötlevad isikuandmeid ainult teie juhiste kohaselt.

F. Teavitab teid viivitamatult, kui teie juhused on vastuolus rakendatavate isikuandmete kaitse õigusaktidega.

G. On selle andmete töötlemise lepingu kohaselt kohustatud kaitsma teie klientide isikuandmeid hävimise, muutmise, kadumise või lubamatu töötlemise eest. Sellel eesmärgil rakendab SumUp asjakohaseid turvameetmeid rakendatavate seaduste kohaselt. SumUpi rakendatavad tehnilised ja organisatsioonilised meetmed sõltuvad tehnilistest arengutest. On võimalik, et SumUp võtab kasutusele alternatiivseid piisavaid meetmeid. Alternatiivide rakendamisel ei ole võimalik langetada määratletud turvameetmete kaitsetaset. SumUp toetab teid vajadusel asjakohaste tehniliste ja organisatsiooniliste meetmetega ja arvestades SumUpile kättesaadavate andmete töötlemise laadi ning kategooriat aitab tagada, et täidate oma kohustused rakendatavate isikuandmete kaitse õigusaktide kohaselt.

H. Teie põhjendatud taotlusel teeb kättesaadavaks sertifikaadid, mis näitavad SumUpi vastavust selle andmete töötlemise lepingu ja rakendatavate isikuandmete kaitse õigusaktide nõuetele; ja/või teeb kättesaadavaks teabe, mis on vajalik, et tõestada vastavust selle andmete töötlemise lepingu ja rakendatavate isikuandmete kaitse õigusaktide nõuetele. SumUpi poolt kättesaadavaks tehtav teave on piiratud ainult vajaliku teabega, arvestades teenuste laadi ja SumUpile kättesadavaid andmeid, ning selle eesmärgiks on toetada teid teie kohustuste täitmisel, pidades eriti silmas isikuandmete kaitse üldmääruse artikleid 32 ja 36 (isikuandmete kaitse mõjude hindamist, eelnevat konsulteerimist ja isikuandmete turvalisust puudutavad kohustused).

I. Toetab teid, mõistliku aja jooksul, asjakohaste meetmetega ja võimalikult põhjendatult (arvestades töötlemise laadi), andmesubjekti õiguste tagamisel ning muude asjakohaste kohustuste täitmisel rakendatavate andmeprivaatsuse määruste, muu hulgas isikuandmete kaitse üldmääruse, kohaselt.

J. Teavitab teid, seadusega lubatud juhtudel, kui SumUp saab päringu või kaebuse isikult, kelle isikuandmeid teie sisu hõlmab, või kui SumUp saab siduva nõude valitsusasutuselt, õiguskaitseasutuselt, reguleerivalt või muult asutuselt, seoses teie klientide andmetega, mida SumUp töötleb teie nimel ja teie juhiste kohaselt.

4.4. Teie, isikuandmete vastutava töötlejana:

A. Kogute, kasutate ja töötlete sisus kasutatud isikuandmeid kõigi rakendatavate isikuandmete kaitse õigusaktide kohaselt.

B. Olete ainuisikuliselt vastutav teie klientide andmete täpsuse, kvaliteedi ja õigusliku töötlemise ning andmete omandamise meetodite eest.

C. Tagate teenuseid kasutades asjakohasel tasemel turvalisuse, arvestades teie klientide andmeid puudutavaid riske.

D. Kinnitate, et teie klientide isikuandmete hoiustamine ja/või edastamine kolmandatele pooltele või platvormidele, mis ei ole SumUp, toimub teie ainuisikulisel vastutusel ja riskil.

E. Tagate, et teie poolt isikuandmete töötlemiseks antud juhised vastavad kõigile teie klientide andmete töötlemisele rakendatavatele seadustele, määrustele ja reeglitele. Peale selle tagate, et teie klientide andmete töötlemine teie juhiste kohaselt ei põhjusta ja selle tulemuseks ei ole meie või teie poolne seaduste, reeglite või määruste (muu hulgas isikuandmete kaitse üldmääruse) rikkumine.

5. Rikkumistest teavitamine. Rikkumisest teada saav pool teavitab teist poolt viivitamatult (ja mitte hiljem kui 48 tunni jooksul), kui saab teada selle andmete töötlemise lepingu kohaselt töödeldavate isikuandmetega seotud rikkumisest. SumUp toetab teid isikuandmete kaitse üldmääruse artiklites 33 ja 34 sätestatud teavitamiskohustuse täitmisel, annab teile, teenuste laadi arvestades, rikkumise kohta põhjendatult vajaliku ning meile saadaval oleva teabe, arvestades muu hulgas näiteks konfidentsiaalsuse nõuetega. Üleval toodust sõltumata, SumUpi selle jaotise kohased kohustused ei kehti rikkumiste korral, mille põhjustasite teie, teie tegevus ja/või kolmanda poole teenused. SumUp on kohustatud tegema koostööd ja teid toetama seoses uurimisega, negatiivsete tagajärgede minimeerimisega, isikuandmetega seotud rikkumise tagajärgede parandamisega ning edasiste sarnaste rikkumiste ennetamisega. SumUpi poolne isikuandmetega seotud rikkumisest teavitamine ei tähenda SumUpi poolset kinnitust sellise rikkumise süülisuse või vastutuse eest. Isikuandmetega seotud rikkumise korral olete kohustatud võtma rakendatavate seadustega nõutavad meetmed seoses teie klientide andmetega.

6. Alamtöötlejad. Käesolevaga annate SumUpile üldise volituse kaasata teenuste pakkumisel alamtöötlejaid, ilma täiendavate kirjalike või konkreetsemate volitusteta. SumUp sõlmib iga alamtöötlejaga lepingu, mis tagab, et alamtöötleja järgib tingimusi, mis garanteerivad vähemalt selles andmete töötlemise lepingus kehtestatud või paremal tasemel kaitse ja turvalisuse. Kui teil on konkreetse alamtöötleja osas vastuväiteid ja teie vastuväide on põhjendatud ning seotud andmete töötlemisega, astume kaubanduslikult mõistlikke samme, et pakkuda võimalust teie klientide andmete asjakohase alamtöötleja poolt töötlemise vältimiseks. Kui meil ei ole võimalik selliseid soovitatud muudatusi mõistliku aja jooksul teostada, teavitame teid vastavalt ning kui teil on endiselt asjakohase alamtöötleja kasutamise suhtes vastuväiteid, võite oma konto või alamtöötlejaga seotud teenuste osad tühistada või lõpetada.

7. Isikuandmete edastamine. Teie klientide andmeid töödeldakse Euroopa Majanduspiirkonna („EMP“) territooriumil. Isikuandmete edastamine kolmandatesse riikidesse väljaspool EL-i/EMP-d, kus Euroopa Komisjoni hinnangul ei ole tagatud piisav isikuandmete kaitse, toimub lepingu tüüptingimustel või rakendades muud asjakohast mehhanismi, mis garanteerib isikuandmete piisaval tasemel kaitse isikandmete kaitse üldmääruse peatüki V kohaselt.

8. Auditid. Teil on kord aastas õigus algatada SumUpi andmete töötlemise lepingu kohaste kohustuste hindamine. Kui SumUp on kohustatud seda tegema rakendatava seadusandluse kohaselt, võidakse auditeid kord aastas korrata. Pooled otsustavad ühiselt, kas auditi peaks läbi viima kolmas pool. Teil on võimalus lubada meil läbi viia turvalisuse hindamine meie valitud neutraalse kolmanda poole poolt, kui tegemist on andmete töötlemise keskkonnaga, kus töödeldakse mitme vastutava töötleja andmeid. Kui auditi pakutav ulatus järgib ISO või sarnast sertifitseerimise raportit ja selle viis läbi vajaliku kvalifikatsiooniga kolmanda poole audiitor viimase kaheteistkümne kuu jooksul ning SumUp kinnitab, et hinnatavad meetmed ei ole oluliselt muutunud, on selline raport piisav selle aja jooksul esitatud taotlustele vastamiseks. Auditid ei tohi põhjendamatult häirida SumUpi tavapärast äritegevust. Taotletud auditiga kaasnevad kulud jäävad teie kanda.

9. Vastutus. Poolte selle andmete töötlemise lepingu kohasele vastutusele kohalduvad täiendavates tingimustes ja/või tingimustes määratletud välistused ja vastutuse piirangud. Nõustute, et mistahes regulatiivsed karistused või nõuded andmesubjektide või muude isikute poolt, mida SumUp kannatab seoses teie klientide andmetega ja mille põhjuseks on teie selle andmete töötlemise lepingu või rakendatavate andmekaitseseaduste kohustuste rikkumine või mis on sellega seotud, vähendab SumUpi maksimaalset koondvastutust teie ees täiendavate tingimuste ja/või tingimuste kohaselt asjakohase trahvi ja/või vastutusega võrdväärses summas.

10. Lõpetamine See andmete töötlemise leping kehtib ajal, mil kasutate SumUpi teenuseid. Kui SumUpil on selle andmete töötlemise lepingu või muude SumUpi reeglite ja tingimuste kohaselt kohustus teie klientide isikuandmete säilitamiseks pärast teenuste lõpetamist, jääb see andmete töötlemise leping kehtima kuni SumUp selliseid isikuandmeid säilitama peab. Teenuste kasutamise lõpetamisel ja olukorras, kus SumUp peab SumUpi täiendavate tingimuste ja/või tingimuste, muude lepingute või rakendatavate seaduste kohaselt teie klientide andmeid säilitama, kustutab SumUp, muu hulgas teie kirjalikul taotlusel, teie klientide andmed esimesel võimalusel ja SumUpi tingimuste ning rakendatavate seaduste kohaselt.

11. Mitmesugune.

11.1. Kui selle andmete töötlemise lepingu ja SumUpi täiendavate tingimuste ja/või tingimuste vahel on erinevusi, rakendatakse selle andmete töötlemise lepingu tingimusi.

11.2. Teie vastutate kulude ja kulutuste eest, mida SumUp kannab teie juhiste või taotluste täitmisel täiendavate tingimuste kohaselt (muu hulgas see andmete töötlemise leping), kui need jäävad väljapoole reeglina SumUpi poolt teenuste kaudu pakutavaid standardseid funktsioone.

11.3. SumUpil on õigus selle andmete töötlemise lepingu tingimusi vajadusel muuta ja/või täiendada. SumUp vormistab lepingu muudatused eraldi lisas või muul nähtaval viisil ja nendest teavitatakse eraldi.

11.4. Seda andmete töötlemise lepingut puudutavad küsimused ja muud isikuandmete töötlemisega seotud taotlused tuleb saata aadressil [email protected] SumUp üritab lahendada kõik teie klientide andmete kasutamist puudutavad kaebused selle andmete töötlemise lepingu, tingimuste ja SumUpi ettevõttesiseste reeglite kohaselt.

11.5. Kui mõni andmete töötlemise lepingu säte osutub kehtetuks, ei mõjuta see ülejäänud sätete kehtivust. Pooled asendavad kehtetu sätte kehtiva sättega, mis vastab kehtetuks osutunud sätte eesmärgile.

11.6. Seda lepingut reguleerivad ning seda tõlgendatakse ja kohaldatakse kooskõlas Leedu õigusega. Kõik sellest lepingust tulenevad või seotud vaidlused lahendatakse lõplikult Leedu Vabariigi kohtutes, kui seda ei keela Euroopa Liidu õigus.