Ugovor o obradi podataka

Datum stupanja na snagu: 16.01.2023.

Ažurirano: 16.01.2023.

Ovaj ugovor o obradi podataka ("UOP") čini dio i podložan je odredbama određenih SumUpovih uvjeta primjenjivim za Usluge koje smijete koristiti ("Dodatni uvjeti") i svim ostalim primjenjivim Uvjetima i odredbama SumUpa, uključujući ali ne ograničavajući se na, Opći uvjeti tvrtke SumUp (u nastavku zajedno "Uvjeti") zaključen i dogovoren između vas kao trgovca SumUpa ("vi", "Kontrolor podataka") i ugovornog subjekta SumUpa kako je naznačeno u primjenjivim Dodatnim uvjetima ("Sumup", "mi", "obrađivač podataka"), dio poduzeća SumUp S.A.R.L. grupe - SumUp Group.

Kako bi vam pružila Usluge pod Dodatnim uvjetima, tvrtka SumUp obrađuje podatke o vašim zaposlenicima, kupcima/klijentima ili posjetiteljima vaših trgovina ili web stranica, ili korisnicima vaših usluga ("Vaši kupci/klijenti", "Kupci/klijenti", "Krajnji kupci/klijenti). Obrada takvih podataka od strane SumUpa u daljnjem se tekstu naziva "obradom" (kako je taj pojam definiran prema Primjenjivom zakonodavstvu o zaštiti podataka). Sljedeći Ugovor o obradi podataka (UOP) sadrži uvjete takve obrade od strane SumUpa.

Svaka se strana slaže i osigurat će da se uvjeti ovog UOP-a također u potpunosti primjenjuju na svoje podružnice koje mogu biti uključene u obradu osobnih podataka za Usluge definirane u Dodatnim uvjetima. Konkretno, SumUp će osigurati da svi podizvođači djeluju pod istim uvjetima kao i ovaj UOP prilikom obrade podataka kupaca/klijenata.

1. Definicije

1.1. "Primjenjivo zakonodavstvo o zaštiti podataka" označava sve zakone koji se odnose na obradu osobnih podataka pod Dodatnim uvjetima, Uvjetima i ovom UOP-u, uključujući, bez ograničenja, Zakon o zaštiti podataka 2018., Uredbu o općoj zaštiti podataka EU 2016/679 ("GDPR","Uredba"), Direktivu o privatnosti i elektroničkoj komunikaciji EU 2002/58/EC, kako je provedeno u svakoj jurisdikciji; te sve izmjene i dopune, ili sve ostale primjenjive ili zamjenske međunarodne, regionalne ili nacionalne zakone o zaštiti podataka, propise i regulatorne smjernice.

1.2. Pojmovi "kontrolor", "subjekt podataka", "osobni podaci", "obrada" i "obrađivač" imaju značenja dana tim pojmovima u Primjenjivom zakonodavstvu o zaštiti podataka.

1.3. "Sadržaj" znači vaš Sadržaj i bilo koji sadržaj koji je pružen SumUpu od strane vaših kupaca/klijenata, uključujući bez ograničenja: tekst, fotografije, slike, zvukovi, videozapisi, kôd, podaci dobiveni putem kolačića ili sličnih tehnologija praćenja te svi ostali materijali.

1.4. "Vaši podaci", "Podaci vaših kupaca/klijenata" označavaju osobne podatke u Sadržaju koje je obradio SumUp u vaše ime, kao dio Usluga; i/ili podaci o vašim zaposlenicima, računovođama i/ili kupcima/klijentima obrađeni u vaše ime za izvršavanje Usluga. Podaci vaših kupaca/klijenata ne uključuju osobne podatke ako SumUp takve podatke kontrolira prema ovom UOP-u i Pravilima o privatnosti SumUpa. 

1.5. Sve definicije koje se koriste u sadašnjem UOP-u, ali nemaju eksplicitnu definiciju u ovom odjeljku, imat će značenje definirano u Dodatnim uvjetima. Ako u Dodatnim uvjetima ili Uvjetima ne postoji određena definicija, značenje takvih izraza bit će ono navedeno u Primjenjivom zakonodavstvu o zaštiti podataka.

2. Primjenjivost. Ovaj UOP odnosi se samo na Podatke vaših kupaca/klijenata koje obrađuje SumUp u vaše ime u svrhu pružanja Usluga. Slažete se da SumUp nije odgovoran za osobne podatke koje ste odabrali za obradu putem usluga trećih strana ili izvan Usluga, uključujući sustave bilo koje druge usluge oblaka treće strane, izvanmrežne pohrane ili pohrane na web lokaciji.

3. Pojedinosti obrade podataka. SumUp će obrađivati osobne podatke u skladu s Prilogom 1 ovog Ugovora.

4. Prava i obveze

4.1. U mjeri u kojoj se Podaci vaših kupaca/klijenata obrađuju od strane tvrtke SumUp u vaše ime i u kojoj ova obrada podliježe Primjenjivom zakonodavstvu o zaštiti podataka, potvrđujete i suglasni ste da za potrebe pružanja Usluga od strane tvrtke Sumup, vi ste kontrolor takvih osobnih podataka, a putem SumUpovih Usluga uputli ste SumUp da obradi Podatke vaših kupaca/klijenata u vaše ime, u skladu s ovim UOP-om.

4.2. Prihvaćanje ovog UOP-a možete opozvati u bilo kojoj fazi, ali ako to učinite, SumUp vam više neće moći pružati Uslugu.

4.3. SumUp, u svojoj ulozi obrađivača osobnih podataka:

a. obrađuje Podatke vaših kupaca/klijenta isključivo u svrhe navedene u UOP-u i u skladu s primjenjivim zakonom i UOP-om,

b. može djelovati i obrađivati Podatke vaših kupaca/klijenata samo u skladu s dokumentiranim uputama, osim ako zakon, sudski nalog ili zakonodavna mjera, nalaže djelovanje bez takvih uputa. Vaša uputa, u vrijeme zaključivanja ovog UOP-a je da SumUp može obraditi podatke vaših kupaca/klijenata isključivo u svrhu pružanja usluga kako je opisano u UOP-u i Dodatnim uvjetima. U skladu s uvjetima ovog UOP-a i pod uvjetom da se obje strane slažu s time, možete izdavati dodatne pisane upute u skladu s uvjetima ovog UOP-a,

c. jamči da su osobe ovlaštene za obradu osobnih podataka preuzele obvezu povjerljivosti ili imaju zakonsku obvezu održavanja povjerljivosti,

d. jamči da se pristup osobnim podacima daje na osnovu potrebe ('need to know') u vezi s izvršavanjem Usluga pod Dodatnim uvjetima,

e. obvezan je osigurati da zaposlenici/podizvođači i svi agenti/zastupnici koji obrađuju Podatke vaših kupaca te osobne podatke obrađuju u skladu s vašim uputama,

f. odmah će vas izvijestiti u slučaju da vjerujemo kako su neke vaše upute u suprotnosti s Primjenjivim zakonodavstvom o zaštiti podataka,

g. dužan je zaštititi Podatke vaših kupaca/klijenata prema ovom UOP-u od bilo kakvog uništavanja, izmjena, gubitaka i bilo koje druge neovlaštene obrade. U tu svrhu Sumup poduzima odgovarajuće sigurnosne mjere u skladu s važećim zakonom. Moguće je da SumUp može uvesti neke alternativne odgovarajuće mjere. Prilikom uvođenja takvih alternativa nije moguće smanjiti razinu definiranih sigurnosnih mjera. SumUp će vam pomoći odgovarajućim tehničkim i organizacijskim mjerama prema potrebi i, uzimajući u obzir prirodu pomoći i kategorije dostupnih informacija SumUpu, pomoći u osiguravanju usklađenosti s vašim obvezama prema Primjenjivom zakonodavstvu o zaštiti podataka.

h. po vašem razumnom zahtjevu, pruža certifikate koje pokazuju poštivanje SumUpovih obveza prema ovim UOP i Primjenjivom zakonodavstvu o zaštiti podataka; i/ili pruža dostupne informacije potrebne za dokazivanje poštivanja obveza prema ovom UOP i Primjenjivom zakonodavstvu o zaštiti podataka. Informacije/podatke koje SumUP treba pružiti ograničeni su na samo potrebne informacije/podatke (što definira SumUp), uzimajući u obzir prirodu Usluga i informacije dostupne SumUpu, kako bi vam se pomoglo u ispunjavanju vaših obveza, posebno u odnosu na obveze u pogledu procjene utjecaja na zaštitu podataka, prethodno savjetovanje i osiguranje sigurnosti osobnih podataka,

i. pomoći će vam, u razumnim vremenskim okvirima, odgovarajućim mjerama i, u mjeri u kojoj je to razumno moguće (s obzirom na prirodu obrade), u usklađivanju s pravima subjekta podataka i svim ostalim relevantnim obvezama prema Primjenjivom zakonodavstvu o zaštiti podataka,

j. ako je to dopušteno primjenjivim zakonom, nakon primitka upita ili žalbe od pojedinca čiji su osobni podaci obrađeni prema UOP-u, ili obvezujućeg naloga vlade, zakonskog, regulatornog ili drugog tijela, u odnosu na Podatke vaših kupaca/klijenata koje obrađujemo u vaše ime i prema vašim uputama, obavijestit će vas o tome.

4.4. Vi u ulozi kontrolora osobnih podataka:

a. prikupljat će te, koristiti i obrađivati osobne podatke u Sadržaju u skladu s bilo kojim i svim Primjenjivim zakonodavstvom o zaštiti podataka,

b. snosite isključivu odgovornost za točnost, kvalitetu i zakonitu obradu Podataka vaših kupaca/klijenata i načine na koji su ti podaci dobiveni,

c. osiguravate odgovarajuću razinu sigurnosti prilikom korištenja Usluga, uzimajući u obzir sve vrste rizika u vezi s Podacima vaših kupaca/klijenata,

d. svjesni ste da će bilo koja pohrana i/ili prijenos Podataka vaših kupaca/klijenata bilo kojoj trećoj strani ili platformi, osim SumUpa, biti na vaš isključiv rizik i odgovornost,

e. osigurati da su vaše upute u pogledu obrade osobnih podataka u skladu sa svim zakonima, propisima i pravilima koja se primjenjuju u vezi s Podacima vaših kupaca/klijenata. Također ćete osigurati da obrada podataka Vaših kupaca/klijenata u skladu s vašim uputama neće uzrokovati ili rezultirati u kršenju bilo kakvih zakona, pravila ili propisa,

f. pružiti svojim kupcima/klijentima potrebne informacije o tome kako i zašto se njihovi podaci obrađuju u skladu s zahtjevima Primjenjivog zakonodavstva o zaštiti podataka.

5. Obavijesti o povredi (kršenju). Jedna će strana odmah obavijestiti drugu stranu (ali najkasnije nakon 48 sati) nakon što postane svjesna povrede osobnih podataka u vezi s osobnim podacima obrađenim u skladu s ovim UOP-om. Sumup će vam pomoći u ispunjavanju vaših obveza obavijesti o povredi podataka, pružiti vam podatke o povredi/kršenju koje smo vam u razumnoj mjeri mogli otkriti, uzimajući u obzir prirodu Usluga, nama dostupne informacije i sva ograničenja u otkrivanju podataka, poput uvjeta povjerljivosti. Unatoč gore navedenom, SumUpove obveze iz ovog odjeljka ne primjenjuju se na incidente koje ste uzrokovali vi, bilo kakva aktivnost na vašem računu i/ili usluge trećih strana. Sumup je dužan surađivati i podržati vas u vezi s istragom, minimiziranjem negativnih posljedica i ispravljanjem povrede osobnih podataka, kao i sprječavanjem budućih sličnih kršenja. SumUpova obavijest o povredi osobnih podataka neće se smatrati prihvaćanjem SumUpa bilo kakve greške ili odgovornosti u odnosu na takav incident. U slučaju povrede osobnih podataka, bit ćete dužni poduzeti mjere potrebne prema važećim zakonima u vezi s Podacima vaših kupaca/klijenata.

6. Podizvođači. Ovime pružate opće ovlaštenje SumUpu za angažiranje podizvođača obrade podataka (tj. 'podobrađivača') za pružanje Usluga bez potrebe za dobivanjem daljnje pisane, posebne dozvole. SumUp će zaključiti ugovor/sporazum sa svakim podizvođačem, osiguravajući poštivanje uvjeta od strane tog podizvođača koji osiguravaju barem jednaku razinu zaštite i sigurnosti kao i oni navedeni u ovom UOP-u. Ako se protivite bilo kojem podizvođaču i vaš prigovor je razuman i povezan s problemima oko zaštite podataka, upotrijebit ćemo komercijalno razumne napore kako bismo vam omogućili način izbjegavanja obrade Podataka vaših kupaca/klijenata od strane podizvođača kojem se protivite. Ako nismo u mogućnosti u razumnom vremenskom razdoblju učiniti dostupnima predložene promjene, obavijestit ćemo vas o tome, a ako i dalje imate prigovor na našu uporabu tog podizvođača, možete otkazati ili ukinuti svoj račun ili, ako je moguće, dijelove Usluge koje uključuju navedenog podizvođača.

7. Prijenos osobnih podataka. Obrada Podataka vaših kupaca/klijenata odvijat će se na teritoriju Europskog gospodarskog područja ("EEA") i Ujedinjene Kraljevine. Svaki prijenos i obrada u trećoj zemlji izvan EU/EEA i Ujedinjene Kraljevine koji ne osigurava odgovarajuću razinu zaštite, odnosno preuzetu uredbu o adekvatnosti iz UK, u skladu s Primjenjivim zakonodavstvom o zaštiti podataka, poduzima se u skladu sa standardnim ugovornim klauzulama ili drugim odgovarajućim mehanizmom koji jamči odgovarajuću razinu sigurnosti osobnih podataka prema zahtjevima Primjenjivog zakonodavstva o zaštiti podataka.

8. Revizije. Vi imate pravo jednom godišnje pokrenuti pregled obveza (reviziju) SumUp-a prema ovom UOP-u. Obje strane zajedno odlučuju treba li treća strana izvršiti reviziju. Međutim, možete nam dopustiti da sigurnosni pregled provede neutralna treća strana našeg izbora. Ako predloženi opseg revizije slijedi ISO ili slično izvješće o certificiranju koje je u prethodnih dvanaest mjeseci proveo kvalificirani revizor treće strane, a SumUp potvrđuje da nije bilo materijalnih promjena u preispitivanju mjera, to će zadovoljiti sve zahtjeve primljene u tom vremenskom razdoblju. Revizije se ne smiju u nerazumnoj mjeri miješati u SumUpov posao, tj. njegove uobičajene aktivnosti. Vi ste odgovorni za sve troškove povezane s vašim zahtjevom za reviziju. Jednom godišnje, nakon prethodnog pisanog zahtjeva kontrolora podataka i u mjeri koja je potrebna prema Primjenjivom zakonodavstvu o zaštiti podataka, SumUp pristaje surađivati s kontrolorom podataka i u razumnom roku osigurati mu:

(a) sažetak revizijskih izvještaja koji pokazuju učinkovitost tehničkih i organizacijskih mjera koje je SumUp poduzeo protiv neovlaštene ili nezakonite obrade osobnih podataka i protiv neovlaštenog pristupa, slučajnog gubitka ili uništenja ili štete na osobnim podacima i

(b) potvrda da revizija nije otkrila nikakvu materijalnu ranjivost u SumUpovim sustavima, ili u mjeri u kojoj je otkrivena takva ranjivost, da je SumUp u potpunosti uklonio predmetnu ranjivost.

Ako gore navedene mjere nisu dovoljne za potvrdu poštivanja Primjenjivog zakonodavstva o zaštiti podataka ili otkrivaju neke materijalne probleme, kontrolor podataka može zatražiti, uz pisanu obavijest poslanu SumUpu najmanje trideset (30) dana unaprijed, reviziju programa za usklađenost zaštite podataka SumUpa koju bi proveli vanjski neovisni revizori. Obje strane trebaju zajednički odabrati revizore i međusobno dogovoriti opseg, vrijeme i trajanje revizije. Kontrolor podataka će poduzeti sve razumne mjere kako bi ograničio sve štetne utjecaje na SumUp i odgovoran je za sve troškove povezane sa svojim zahtjevom za reviziju, kao i troškove koji proizlaze iz bilo kakvih štetnih utjecaja, ako ih ima. Kontrolor podataka će učiniti dostupnim za SumUp rezultat revizije njegovog programa usklađenosti sa zaštitom podataka.

9. Odgovornost/obvezanost. Odgovornost svake stranke prema ovom UOP-u podliježe isključenjima i ograničenjima odgovornosti navedenim u Dodatnim uvjetima i/ili Uvjetima. Vi se obvezujete obeštetiti i zadržati obeštećenim te štititi SumUp o vlastitom trošku od svih troškova, zahtjeva ili štete koje SumUp pretrpi ili za koji Sumup može postati odgovoran zbog neispunjavanja obveza iz ovog UOP-a od strane vas ili vaših zaposlenika ili agenata.

10. Raskid. Ovaj UOP bit će na snazi onoliko dugo koliko koristite bilo koju od SumUpovih Usluga. Nakon prestanka upotrebe Usluga te ako SumUp nije obvezan zadržati Podatke o vašim kupcima/klijentima, u skladu s Dodatnim uvjetima i/ili Uvjetima SumUpa, bilo kojim ugovorom ili primjenjivim zakonom, SumUp će, uključujući i nakon pisanog zahtjeva s vaše strane, izbrisati Podatke svojih kupaca/klijenata čim je to realno izvedivo te u skladu s Uvjetima SumUpa i primjenjivim zakonima.

11. Skupni anonimni podaci. Vi razumijete i pristajete da SumUp može obraditi skupne podatke bilo koje vrste koje se odnose na vas i vaše kupce/klijente, uključujući podatke o korištenju usluga. Kupac razumije, prihvaća i prihvaća i pristaje da SumUp može koristiti ove skupne anonimne podatke (bez ograničenja navedenih svrha) za analizu, poboljšanje i upravljanje njegovim uslugama i, općenito, za bilo koju komercijalnu aktivnost, tijekom cijelog trajanja UOP-a, ali i nakon njegovog raskida, kako bi doprinijeo tržišnim analizama, proizveo statistiku, poboljšao svoje proizvode i usluge i njihovu sigurnost, slijedeći dobre industrijske prakse i/ili preporuke.

12. Razno

12.1. U slučaju neslaganja između ovog UOP-a i bilo kojeg od Dodatnih uvjeta i/ili Uvjeta SumUpa, odredbe ovog UOP-a imaju prednost.

12.2. Vi ste odgovorni ste za sve troškove koji proizlaze iz SumUpove usklađenosti s vašim uputama ili zahtjevima u skladu s Dodatnim uvjetima (uključujući ovaj UOP) koji spadaju izvan standardne funkcionalnosti koje SumUp omogućuje općenito putem Usluga.

12.3. SumUp ima pravo na mijenjanje i prilagođavanje svih uvjeta ovog UOP-a, s vremena na vrijeme kada je to potrebno. SumUp će izmjene u UOP-u priopćavati i vršiti na odgovarajući način u zasebnom prilogu ili na drugi vidljivi način, uključujući objavljivanje ažurirane verzije UOP-a na našoj web lokaciji. "Posljednje ažuriranje" na vrhu ovog UOP-a ukazuje na to kada je ovaj UOP posljednji puta izmijenjen.

12.4. Sva pitanja u vezi s ovim UOP-om ili drugim zahtjevima povezanim s obradom osobnih podataka trebala bi nam biti upućena na [email protected]. SumUp će pokušati riješiti sve pritužbe u vezi s korištenjem podataka vaših Kupaca/klijenata u skladu s ovim UOP-om, Uvjetima i unutarnjim pravilima SumUpa.

12.5. Ako se bilo koja od odredbi UOP-a smatra nevažećom, to ne utječe na preostale odredbe. Stranke će zamijeniti nevažeće odredbe pravnom odredbom koja odražava svrhu nevažeće odredbe.

12.6. Za ovaj Ugovor nadležni su zakoni Litve i on će se tumačiti u skladu s istima.

Prilog 1

1. Predmet. Predmet je obrada podataka prema ovom UOP-u.

2. Svrha i priroda obrade. Svrha obrade podataka prema ovom UOP-u je pružanje i poboljšanje Usluga koje ste pokrenuli.

3. Trajanje. Kao između vas i nas, trajanje obrade podataka prema ovom UOP-u određujete vi i za odabrano razdoblje na koje odlučite koristiti naše Usluge.

4. Kategorije podatkovnih subjekata. Vaši Kupci/klijenti, potencijalni kupci vaših kupaca/klijenata, vaši zaposlenici, računovodstveno osoblje (za obradu računa i računovodstvo) i svi ostali pojedinci čiji su osobni podaci uključeni u Sadržaj. Za poklon kartice, kupci poklon kartica i/ili primatelji poklon kartica ili drugi pojedinci čiji se osobni podaci obrađuju kao dio usluga poklon kartica u skladu s Dodatnim uvjetima i Uvjetima SumUpa.

5. Vrste osobnih podataka. Podaci vaših kupaca/klijenata obrađuju se kao dio Usluga u skladu s Uvjetima i danim uputama. Ti se podaci mogu razlikovati ovisno o korištenim Uslugama i mogu uključivati, ali nisu ograničeni na:

Internetsku trgovinu

Imena, adrese e-pošte, mobilni/telefonski brojevi, fizičke adrese, podaci o plaćanju, povijest transakcija/narudžbi, IP adrese, informacije putem kolačića i sličnih tehnologija te marketinške postavke vaših kupaca/klijenata. 

Poklon kartice

Imena i adrese e-pošte o kupcu i primatelju poklon kartice, iznos za poklon kartici, poruke na poklon karticama.

Izdavanje računa i računovodstvo

Imena, fizičke adrese, mobilni/telefonski brojevi, adrese e-pošte, brojevi računa i/ili podaci o bankama, predmeti fakture, podaci o transakcijama/narudžbama, status faktura. 

Za POS

Imena, fizičke adrese, mobilni/telefonski brojevi, adrese e-pošte, podaci o transakcijama/narudžbama, komentari; za vaše zaposlenike: broj osoblja, vjerodajnice za prijavu, IP adrese, uloge, e-pošta, narudžbe, jezične preferencije. 

Posebne kategorije osobnih podataka, uključujući podatke koji se odnose na kaznene presude i kaznena djela, ne smatraju se obrađenim u okviru Usluga i isključeni su iz uvjeta ovog UOP-a. Ako se takvi podaci obrađuju tijekom korištenja naših Usluga, to je bez znanja SumUpa o tome i takve podatke trebate izbrisati odmah nakon što prepoznate takvu obradu.