Tietojenkäsittelysopimus

Voimassa 15.8.2022 alkaen

Viimeksi päivitetty 15.8.2022

Tämä tietojenkäsittelysopimus on olennainen osa ja siihen sovelletaan SumUp-verkkokaupan ehtoja (”sopimus”, ”lisäehdot”), tietosuojakäytäntöä ja muita mahdollisesti sovellettavia SumUp-ehtoja (tässä ”ehdot”, ”tietosuojakäytäntö”), jotka olet hyväksynyt SumUp-kauppiaana (”sinä”, ”rekisterinpitäjä”) ja joiden sopimusosapuolina ovat sinä ja SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irlanti D02 K580 (”SumUp”, ”me”, ”henkilötietojen käsittelijä”), joka kuuluu SumUp S.A.R.L. Group Companies – SumUp Group ‑konserniin.

Kumpikin osapuoli hyväksyy ja varmistaa, että tämän tietojenkäsittelysopimuksen ehtoja sovelletaan täysimääräisesti myös niiden tytäryhtiöihin, jotka saattavat osallistua henkilötietojen käsittelyyn lisäehdoissa määriteltyjen palveluiden osalta. SumUp varmistaa erityisesti, että kaikki alihankkijoina toimivat käsittelijät noudattavat tätä tietojenkäsittelysopimusta vastaavia ehtoja käsitellessään asiakkaidesi tietoja.

SumUp käsittelee sivustosi tai palveluidesi asiakkaiden tai kävijöiden (”asiakkaasi”, ”asiakkaat”) tietoja voidakseen tarjota sinulle palveluja lisäehtojen mukaisesti. Tällaiseen SumUpin suorittamaan tietojen käsittelyyn viitataan jäljempänä termillä ”käsittely” (jonka merkitys on määritelty yleisessä tietosuoja-asetuksessa). Seuraavassa tietojenkäsittelysopimuksessa määritellään tällaisen SumUpin suorittaman käsittelyn ehdot.

1. Määritelmät

1.1. ”Sovellettavalla tietosuojalainsäädännöllä” tarkoitetaan asetusta (EU) 2016/679 (”yleinen tietosuoja-asetus”, ”asetus”) ja muita sovellettavia henkilötietojen käsittelyä sääteleviä lakeja, mukaan lukien sähköisen viestinnän tietosuojadirektiivi 2002/58/EY (jos sovellettavissa).

1.2. Termeillä ”rekisterinpitäjä””rekisteröity””henkilötiedot”, ”käsitellä”, ”käsittely” ja ”henkilötietojen käsittelijä” on sama merkitys kuin yleisessä tietosuoja-asetuksessa.

1.3. ”Sisällöllä” tarkoitetaan SumUpille luovutettua sisältöäsi ja asiakkaidesi sisältöä, mukaan lukien rajoituksetta tekstit, valokuvat, kuvat, ääni, videot, koodi, tiedot evästeistä tai vastaavista seurantatekniikoista ja kaikki muut materiaalit.

1.4. ”Asiakkaidesi tiedoilla” tarkoitetaan sisällössä olevia asiakkaidesi henkilötietoja, joita SumUp käsittelee puolestasi osana palveluita. Asiakkaidesi tiedot eivät kata henkilötietoja, joiden rekisterinpitäjä SumUp on.

Kaikilla tässä tietojenkäsittelysopimuksessa käytetyillä termeillä, joilla ei ole selkeää määritelmää tässä osiossa, on lisäehdoissa määritetty merkitys. Jos lisäehdoissa tai ehdoissa ei ole erityistä määritelmää, niillä on yleisessä tietosuoja-asetuksessa annettu merkitys tai sen puuttuessa muissa sovellettavissa säännöissä annettu merkitys.

2. Sovellettavuus. Tätä tietojenkäsittelysopimusta sovelletaan asiakkaidesi tietoihin vain, jos yleistä tietosuoja-asetusta sovelletaan. Hyväksyt, että SumUp ei ole vastuussa henkilötiedoista, joita olet päättänyt käsitellä kolmannen osapuolen palveluiden kautta tai palveluiden ulkopuolella, kuten kolmannen osapuolen pilvipalvelujärjestelmissä, offline-säilöissä tai yrityksen toimipaikassa.

3. Tietojenkäsittelyn tiedot

3.1. Henkilötietojen käsittelyn aihe. Tämän tietojenkäsittelysopimuksen mukaisen henkilötietojen käsittelyn aiheena ovat asiakkaidesi tiedot.

3.2. Kesto. Määrität itse sinun ja meidän välisen tietojenkäsittelysopimuksen mukaisen henkilötietojen käsittelyn keston valitsemalla ajanjakson, jonka ajan päätät käyttää palveluitamme.

3.3. Tarkoitus. Tämän tietojenkäsittelysopimuksen nojalla tapahtuvan tietojenkäsittelyn tarkoituksena on käynnistämiesi palvelujen tarjoaminen ja parantaminen. 

3.4. Käsittelyn luonne. Lisäehdoissa kuvatut palvelut, joita voit käynnistää aika ajoin.

3.5. Henkilötietojen tyypit. Asiakkaidesi tiedot sekä sisällössä olevat sinun, asiakkaidesi tai muiden henkilöiden henkilötiedot, joita käsitellään osana palveluita annettujen ohjeiden mukaisesti. Näitä tietoja ovat muun muassa asiakkaidesi nimet, sähköpostiosoitteet, matkapuhelin-/puhelinnumerot, fyysiset osoitteet, pankkitiedot, tapahtumahistoriat, IP-osoitteet. Erityisiä henkilötietojen ryhmiä, mukaan lukien rikostuomioihin ja rikkomuksiin liittyvät henkilötiedot, ei katsota käsiteltävän palveluissa, eivätkä ne kuulu tämän tietojenkäsittelysopimuksen ehtojen piiriin. Jos tällaisia tietoja käsitellään käytettäessä palveluitamme, se tapahtuu SumUpin tietämättä, ja sinun tulee poistaa kyseiset tiedot välittömästi havaittuasi tällaista käsittelyä.

3.6. Rekisteröityjen ryhmät. Sinä, asiakkaasi, asiakkaidesi mahdolliset asiakkaat ja muut henkilöt, joiden henkilötietoja sisältyy sisältöön.

4. Oikeudet ja velvollisuudet

4.1. Siltä osin kuin SumUp käsittelee asiakkaidesi tietoja puolestasi, ja tämä käsittely on yleisen tietosuoja-asetuksen (asetus (EU) 2016/679, ”yleinen tietosuoja-asetus”) alaista, hyväksyt, että SumUpin tarjoamien palveluiden osalta olet tällaisten henkilötietojen rekisterinpitäjä, ja käyttämällä SumUpin palveluita ohjeistat SumUpia käsittelemään asiakkaidesi tietoja puolestasi tämän tietojenkäsittelysopimuksen mukaisesti.

4.2. Voit milloin tahansa perua tämän tietojenkäsittelysopimuksen hyväksynnän, mutta siinä tapauksessa SumUp ei enää voi tarjota sinulle palvelua.

4.3. Henkilötietojen käsittelijänä SumUp:

A. käsittelee asiakkaidesi tietoja tietojenkäsittelysopimuksessa määriteltyjä tarkoituksia varten sovellettavan lain ja tietojenkäsittelysopimuksen mukaisesti,

B. saa toimia ja käsitellä asiakkaidesi tietoja vain dokumentoitujen ohjeidesi mukaisesti, ellei laki, tuomioistuimen määräys tai lainsäädännöllinen toimenpide edellytä toimia ilman tällaista ohjeistusta. Tämän tietojenkäsittelysopimuksen solmimishetkellä antamasi ohjeistus on, että SumUp saa käsitellä asiakkaidesi tietoja vain palvelujen toimittamista varten tietojenkäsittelysopimuksessa ja lisäehdoissa kuvatulla tavalla. Tämän tietojenkäsittelysopimuksen ehtojen mukaisesti ja molempien osapuolten yhteisellä sopimuksella voit antaa kirjallisia lisäohjeita tämän tietojenkäsittelysopimuksen ehtojen mukaisesti,

C. varmistaa, että henkilöt, joilla on oikeus käsitellä henkilötietoja, ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai heitä koskee asianmukainen lakisääteinen salassapitovelvollisuus,

D. varmistaa, että henkilötietoja voi saada vain lisäehtojen mukaisten palvelujen suorittamiseen liittyvien todellisten tarpeiden perusteella,

E. on vastuussa siitä, että asiakkaasi tietoja käsittelevät työntekijät/alihankkijat ja/tai mahdolliset edustajat käsittelevät henkilötietoja vain ohjeidesi mukaisesti,

F. ilmoittaa sinulle välittömästi, jos katsomme, että jotkin ohjeistasi ovat ristiriidassa sovellettavan tietosuojalainsäädännön kanssa,

G. on velvollinen suojaamaan tämän tietojenkäsittelysopimuksen kattamat asiakkaidesi tiedot kaikenlaiselta tuhoamiselta, muuttamiselta, häviämiseltä ja kaikelta muulta luvattomalta käsittelyltä. Tätä tarkoitusta varten SumUp toteuttaa asianmukaiset turvatoimet sovellettavan lain mukaisesti. SumUpin soveltamat tekniset ja organisatoriset toimenpiteet riippuvat teknisestä kehityksestä. On mahdollista, että SumUp ottaa käyttöön vaihtoehtoisia asianmukaisia toimenpiteitä. Jos tällaisia vaihtoehtoisia toimenpiteitä otetaan käyttöön, määriteltyjen turvatoimien taso ei saa laskea. SumUp avustaa sinua tarvittaessa asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä, ja ottaen huomioon käsittelyn luonteen ja SumUpin käytettävissä olevien henkilötietojen ryhmän auttaa sinua varmistamaan sovellettavan tietosuojalainsäädännön mukaisten velvoitteidesi noudattamisen.

H. asettaa kohtuullisesta pyynnöstäsi saataville todistukset, jotka osoittavat SumUpin noudattavan tämän tietojenkäsittelysopimuksen ja sovellettavan tietosuojalainsäädännön mukaisia velvoitteitaan, ja/tai asettaa saataville tämän tietojenkäsittelysopimuksen ja sovellettavan tietosuojalainsäädännön mukaisten velvoitteiden noudattamisen osoittamiseksi tarvittavat tiedot. SumUp asettaa saataville vain tiedot, joita tarvitset velvoitteidesi, erityisesti yleisen tietosuoja-asetuksen 32 ja 36 artiklojen (vaikutustenarvioinnin toteuttamisesta, valvontaviranomaisen ennakkokuulemisesta ja henkilötietojen turvallisuuden varmistamisesta aiheutuvien velvoitteiden) noudattamiseen ottaen huomioon palveluiden luonteen ja SumUpin käytettävissä olevat tiedot,

I. avustaa sinua kohtuullisessa ajassa asianmukaisin toimenpitein ja kun se on kohtuudella mahdollista (käsittelyn luonne huomioon ottaen), rekisteröidyn oikeuksien ja kaikkien muiden asiaankuuluvien tietosuojalakien, mukaan lukien yleinen tietosuoja-asetus, mukaisten velvoitteidesi noudattamisessa,

J. jos sovellettava laki sallii, ilmoittaa sinulle saadessaan tiedustelun tai valituksen henkilöltä, jonka henkilötietoja sisältyy sisältöösi, tai velvoittavan vaatimuksen hallinto- tai lainvalvontaviranomaiselta, sääntelyelimeltä tai muulta elimeltä koskien asiakkaidesi tietoja, joita käsittelemme puolestasi ja pyynnöstäsi.

4.4. Rekisterinpitäjänä sinä:

A. keräät, käytät ja käsittelet sisältöösi sisältyviä henkilötietoja kaikkien sovellettavien tietosuojalakien mukaisesti,

B. olet yksin vastuussa asiakkaidesi tietojen oikeellisuudesta, laadusta ja lainmukaisesta käsittelystä sekä tavoista, joilla ne on saatu,

C. varmistat asianmukaisen turvallisuustason käyttäessäsi palveluita ottaen huomioon kaikki asiakkaidesi tietoihin liittyvät riskit,

D. tiedostat, että asiakkaidesi tietojen tallentaminen ja/tai siirto mille tahansa kolmannelle osapuolelle tai alustalle, lukuun ottamatta SumUpia, tapahtuu omalla riskilläsi ja vastuullasi,

E. varmistat, että henkilötietojen käsittelyä koskevat ohjeesi ovat kaikkien asiakkaidesi tietoihin sovellettavien lakien, asetusten ja sääntöjen mukaiset. Varmistat myös, että asiakkaidesi tietojen käsittely ohjeidesi mukaisesti ei aiheuta sitä tai johda siihen, että me tai sinä rikomme lakeja, sääntöjä tai asetuksia (mukaan lukien yleinen tietosuoja-asetus).

5. Tietoturvaloukkauksista ilmoittaminen. Osapuolen on ilmoitettava toiselle osapuolelle välittömästi (mutta viimeistään 48 tunnin kuluessa) saatuaan tietää tämän tietojenkäsittelysopimuksen nojalla käsiteltyjen henkilötietojen tietoturvaloukkauksesta. SumUp avustaa sinua yleisen tietosuoja-asetuksen 33 ja 34 artiklojen mukaisten ilmoitusvelvollisuuksiesi noudattamisessa toimittamalla sinulle sellaisia tietoturvaloukkausta koskevia tietoja, jotka voimme kohtuudella luovuttaa sinulle, ottaen huomioon palveluiden luonne, käytettävissämme olevat tiedot ja kaikki tietojen luovuttamista koskevat rajoitukset, kuten luottamuksellisuus. Edellä mainitusta huolimatta SumUpin tämän osion mukaiset velvoitteet eivät koske tietoturvaloukkauksia, joiden aiheuttaja olet sinä tai jotka ovat seurausta tililläsi tapahtuvasta toiminnasta ja/tai kolmannen osapuolen palveluista. SumUp on velvollinen toimimaan yhteistyössä kanssasi ja tukemaan sinua henkilötietojen tietoturvaloukkausten tutkinnassa, niiden kielteisten seurausten minimoinnissa ja korjaamisessa sekä tulevien vastaavien tietoturvaloukkausten estämisessä. SumUpin ilmoitusta henkilötietojen tietoturvaloukkauksesta ei katsota minkään tapaukseen liittyvän virheen tai vastuun tunnustamiseksi SumUpin taholta. Henkilötietojen tietoturvaloukkauksen sattuessa olet velvollinen ryhtymään soveltuvien lakien edellyttämiin toimenpiteisiin asiakkaidesi tietojen suhteen.

6. Alihankkijoina toimivat käsittelijät. Annat SumUpille yleisen valtuutuksen käyttää alihankkijoina toimivia käsittelijöitä palvelujen tarjoamiseksi ilman erillistä kirjallista valtuutusta. SumUp solmii jokaisen alihankkijan kanssa sopimuksen, jolla varmistetaan, että kyseinen alihankkija noudattaa vähintään tässä tietojenkäsittelysopimuksessa määritettyä tietosuoja- ja turvallisuustasoa. Jos vastustat jonkin alihankkijan käyttöä tietosuojahuoliin liittyvällä kohtuullisella perusteella, pyrimme kaupallisesti kohtuullisin keinoin tarjoamaan sinulle keinon välttää asiakkaidesi tietojen käsittely vastustamasi alihankkijan toimesta. Jos emme pysty tarjoamaan tällaisia muutosehdotuksia kohtuullisen ajan kuluessa, ilmoitamme tästä sinulle, ja jos vastustat edelleen kyseisen alihankkijan käyttöä, voit peruuttaa tai irtisanoa tilisi tai, jos mahdollista, ne palveluiden osat, joihin liittyy kyseisen alihankkijan käyttö.

7. Henkilötietojen siirto. Asiakkaidesi tietojen käsittely tapahtuu Euroopan talousalueella (”ETA”). Henkilötietojen mahdollinen siirto sellaiseen EU:n/ETA:n ulkopuoliseen kolmanteen maahan ja käsittely sellaisessa maassa, joka ei Euroopan komission päätöksen mukaan tarjoa riittävää tietosuojan tasoa, on suoritettava tietosuojaa koskevia vakiolausekkeita tai muita asianmukaisia suojatoimia soveltaen yleisen tietosuoja-asetuksen V luvun vaatimusten mukaisesti.

8. Tarkastukset. Sinulla on oikeus suorittaa SumUpin tämän tietojenkäsittelysopimuksen mukaisten velvoitteiden tarkastus kerran vuodessa. Jos SumUp on sovellettavan lainsäädännön mukaan velvollinen suorittamaan tarkastuksen, se voidaan toistaa kerran vuodessa. Osapuolet päättävät yhdessä, suorittaako tarkastuksen kolmas osapuoli. Tietosuojatarkastuksen voi kuitenkin luvallasi suorittaa valitsemamme puolueeton kolmas osapuoli, jos kyseessä on käsittely-ympäristö, jossa käsitellään useiden rekisterinpitäjien tietoja. Jos tarkastuksen ehdotettu laajuus vastaa ISO-standardin mukaista tai vastaavaa varmennusraporttia, jonka pätevä ulkopuolinen tarkastaja on tuottanut viimeisten 12 kuukauden aikana, ja SumUp vahvistaa, että tarkasteltavissa olevissa toimenpiteissä ei ole tapahtunut olennaisia muutoksia, kyseisessä määräajassa vastaanotetut pyynnöt katsotaan tyydytetyiksi. Tarkastukset eivät saa kohtuuttomasti häiritä SumUpin tavanomaista liiketoimintaa. Vastaat kaikista tarkastuspyyntöösi liittyvistä kuluista.

9. Vastuu. Jokaisen osapuolen tämän tietojenkäsittelysopimuksen mukainen vastuu on lisäehdoissa ja/tai ehdoissa määritettyjen vastuun poissulkemisten ja vastuunrajoitusten alainen. Hyväksyt, että kaikki asiakkaidesi tietoihin liittyen SumUpille aiheutuvat rangaistusseuraamukset tai rekisteröityjen tai muiden henkilöiden vaatimukset, jotka johtuvat siitä tai liittyvät siihen, ettet ole noudattanut tämän tietojenkäsittelysopimuksen tai sovellettavan tietosuojalain mukaisia velvoitteitasi, vähentää SumUpin lisäehtojen ja/tai ehtojen mukaista enimmäisvastuuta sinua kohtaan edellä mainitun sakon ja/tai vastuun verran.

10. Päättyminen. Tämä tietojenkäsittelysopimus on voimassa niin kauan kuin käytät jotakin SumUpin palveluista. Jos SumUp on kuitenkin tämän tietojenkäsittelysopimuksen ehtojen tai muiden SumUpin ehtojen mukaisesti velvollinen säilyttämään asiakkaidesi henkilötietoja palveluiden käytön lopettamisen jälkeen, tämä tietojenkäsittelysopimus on voimassa niin kauan kuin SumUp on velvollinen säilyttämään tällaisia henkilötietoja. Palvelujen käytön lopettamisen jälkeen ja ellei SumUp ole velvollinen säilyttämään asiakkaidesi tietoja SumUpin lisäehtojen ja/tai ehtojen, minkä tahansa sopimuksen tai sovellettavien lakien mukaisesti, SumUp poistaa asiakkaidesi tiedot niin pian kuin se on kohtuudella mahdollista ja SumUpin ehtojen ja sovellettavien lakien mukaisesti, myös siinä tapauksessa, että pyydät tätä kirjallisesti.

11. Muuta.

11.1. Jos tämän tietojenkäsittelysopimuksen ja jonkin SumUpin lisäehtojen ja/tai ehtojen kohdan välillä on ristiriita, tämän tietojenkäsittelysopimuksen ehdot ovat etusijalla.

11.2. Olet vastuussa kaikista kuluista ja kustannuksista, jotka aiheutuvat siitä, että SumUp noudattaa ohjeitasi tai pyyntöjäsi lisäehtojen (mukaan lukien tämä tietojenkäsittelysopimus) mukaisesti tarjotakseen sinulle toimintoja, jotka eivät sisälly SumUpin yleisesti palveluiden kautta tarjoamiin vakiotoimintoihin.

11.3. SumUpilla on oikeus tarvittaessa ajoittain muuttaa ja/tai mukauttaa mitä tahansa tämän tietosuojasopimuksen ehtoa. SumUp voi tehdä sopimukseen muutoksia erillisellä liitteellä tai muulla näkyvällä tavalla, ja niistä tiedotetaan asianmukaisesti.

11.4. Kaikki tähän tietojenkäsittelysopimukseen ja henkilötietojen käsittelyyn liittyvät kysymykset tulee lähettää osoitteeseen [email protected] SumUp pyrkii ratkaisemaan kaikki asiakkaidesi tietojen käyttöä koskevat valitukset tämän tietojenkäsittelysopimukseen, ehtojen ja SumUpin sisäisten käytäntöjen mukaisesti.

11.5. Jos jokin tietojenkäsittelysopimuksen ehdoista katsotaan pätemättömäksi, se ei vaikuta jäljellä oleviin ehtoihin. Osapuolet korvaavat pätemättömän ehdon sellaisella pätevällä ehdolla, joka vastaa pätemättömän ehdon tarkoitusta.

11.6. Tähän sopimukseen sovelletaan Irlannin lakeja, ja sitä tulkitaan Irlannin lakien mukaisesti. Kaikki sopimuksesta johtuvat tai siihen liittyvät riidat ratkaistaan lopullisesti Irlannin tuomioistuimissa, paitsi jos EU-lainsäädäntö kieltää tämän.