Accordo sul trattamento dei dati

Data di decorrenza: 16/01/023

Data di revisione: 16/01/2023

Il presente Accordo sul trattamento dei dati (“DPA”) fa parte integrante ed è soggetto alle disposizioni dei Termini specifici di SumUp applicabili ai Servizi che l'utente potrebbe utilizzare (“Termini aggiuntivi”) e di eventuali altri termini e condizioni applicabili di SumUp, tra cui, a titolo esemplificativo ma non esaustivo, i Termini generali di SumUp (nel prosieguo collettivamente “Termini”) stipulati e concordati da e tra l'utente in quanto commerciante di SumUp (“Utente”) e l'entità SumUp contraente indicata nei Termini aggiuntivi applicabili (“SumUp”, “noi”, “Responsabile del trattamento”), facente parte del gruppo SumUp S.A.R.L. – Gruppo SumUp.

Al fine di fornire all'utente i Servizi previsti nei Termini aggiuntivi, SumUp tratta i dati dei dipendenti, dei clienti o dei visitatori della sede, del sito e/o dei servizi dell'utente ("Clienti dell'utente", "Clienti" "Clienti finali"). Nel prosieguo, il trattamento di tali dati da parte di SumUp è denominato "trattamento" (secondo la definizione del termine ai sensi della Normativa in materia di protezione dei dati personali). Il DPA qui di seguito enuncia i termini riferiti a tale trattamento da parte di SumUp.

Ciascuna parte conviene e garantisce che i termini del presente DPA saranno pienamente applicabili anche agli affiliati che potrebbero essere coinvolti nel trattamento dei dati personali per i Servizi definiti nei Termini aggiuntivi. Nello specifico, SumUp garantirà che tutti i sub-responsabili operino entro gli stessi termini del presente DPA durante il trattamento dei Dati dei clienti dell'utente.

1. Definizioni

1.1. Per "Normativa in materia di protezione dei dati personali vigente" si intendono tutte le leggi relative al trattamento dei dati personali ai sensi dei Termini aggiuntivi, dei Termini e del presente DPA, inclusi, a titolo esemplificativo, il Data Protection Act 2018, il Regolamento generale sulla protezione dei dati dell'UE 2016/679 ("GDPR", "il Regolamento"), la Direttiva UE sulla privacy e le comunicazioni elettroniche 2002/58/CE, come implementato in ciascuna giurisdizione, e tutte le modifiche, o qualsiasi altra legge, regolamento o linea guida normativa sulla protezione dei dati internazionale, regionale o nazionale applicabile o sostitutiva.

1.2. I termini "titolare, "interessato", "dati personali", "trattamento" e "responsabile del trattamento" assumono i significati loro attribuiti nella Normativa in materia di protezione dei dati personali vigente.

1.3. "Contenuto" indica i Contenuti dell'utente e qualsiasi contenuto fornito a SumUp dai clienti dell'utente, ivi compresi, a titolo esemplificativo, testo, foto, immagini, audio, video, codice, informazioni da cookie o tecnologie di tracciamento simili e qualsiasi altro materiale.

1.4. "i Dati dell'utente", "i Dati del cliente dell'utente del cliente" indicano i dati personali all'interno del Contenuto trattati da SumUp per conto dell'utente, nell'ambito dei servizi e/o dai dipendenti, contabili dell'utente e/o dati del cliente trattati per conto dell'utente per l'esecuzione dei Servizi. I Dati dei clienti dell'utente non includono i dati personali, laddove detti dati siano controllati da SumUp ai sensi del presente DPA e dell'Informativa sulla privacy di SumUp. 

1.5. Tutte le definizioni adottate nel presente DPA, ma che non abbiano una descrizione esplicita in questa sezione, avranno il significato enunciato nei Termini aggiuntivi. Se non esiste alcuna definizione specifica nei Termini o nei Termini aggiuntivi, il loro significato sarà quello fornito nella Normativa in materia di protezione dei dati personali vigente.

2. Applicabilità. Il presente DPA trova applicazione esclusivamente con riferimento ai Dati dei clienti dell'utente trattati da SumUp per conto dell'utente allo scopo di fornire i Servizi. Si conviene che SumUp non è responsabile dei dati personali che l'utente ha scelto di trattare attraverso servizi di terze parti o al di fuori dei Servizi, compresi i sistemi di servizi cloud di altre terze parti, nonché l'archiviazione offline o in sede.

3. Dettagli del trattamento dei dati. SumUp tratterà i dati personali in conformità con l'Appendice 1.

4. Diritti e obblighi

4.1. Nella misura in cui i Dati dei clienti dell'utente siano trattati per suo conto da SumUp e questo trattamento sia soggetto alla Normativa in materia di protezione dei dati personali vigente, l'utente riconosce e accetta, ai fini della fornitura dei Servizi da parte di SumUp, di essere il titolare del trattamento di detti dati personali e, utilizzando i Servizi di SumUp, di aver incaricato SumUp di trattare i Dati dei clienti per suo conto, conformemente al presente DPA.

4.2. L'utente può revocare in qualsiasi momento l'accettazione del presente DPA, ma in questo modo SumUp non sarà più in grado di fornirgli il Servizio.

4.3. Nella sua qualità di responsabile del trattamento dei dati personali, SumUp:

a. tratta i Dati dei clienti dell'utente solo per gli scopi specificati nel DPA e in conformità con la legge applicabile e con il DPA;

b. può operare e trattare i Dati dei clienti dell'utente soltanto in conformità con le istruzioni documentate di quest'ultimo, salvo che non ne sia esonerato per legge, per provvedimento giudiziario o per disposizione legislativa. Le istruzioni dell'utente, al momento della stipulazione del presente DPA, prevedono che SumUp possa trattare i Dati dei clienti dell'utente soltanto allo scopo di fornire i Servizi così come descritti nel DPA e nei Termini aggiuntivi. Fatti salvi i termini del presente DPA, e con l'accordo reciproco di entrambe le parti, l'utente può emettere ulteriori istruzioni scritte, coerenti con le condizioni del presente DPA;

c. garantisce che i soggetti autorizzati al trattamento dei dati personali si siano assunti l'obbligo di riservatezza o siano legalmente tenuti a mantenere gli obblighi di riservatezza;

d. garantisce che l'accesso ai dati personali sia concesso in base alla necessità di conoscere le prestazioni dei Servizi ai sensi dei Termini aggiuntivi;

e. ha la responsabilità di garantire che i dipendenti/subappaltatori e/o eventuali agenti che trattano i Dati dei clienti dell'utente possano trattare i dati personali soltanto in conformità con le istruzioni dell'utente;

f. informerà immediatamente l'utente, nel caso in cui riteniamo che alcune sue istruzioni siano in contrasto con la Normativa in materia di protezione dei dati personali vigente;

g. si obbliga, nell'ambito del presente DPA, a proteggere i Dati dei clienti dell'utente da qualsiasi distruzione, alterazione, perdita o da qualsiasi altro trattamento non autorizzato. A tal fine, SumUp adotta adeguate misure di sicurezza, in conformità con la legge applicabile. È possibile che SumUp possa introdurre alcune misure alternative adeguate. Non è possibile ridurre il livello delle misure di sicurezza definite quando si introducono tali alternative. SumUp assisterà l'utente con idonee misure tecniche e organizzative secondo necessità e, in considerazione della natura del trattamento e della categoria di informazioni a sua disposizione, farà in modo di garantire il rispetto degli obblighi dell'utente, ai sensi della Normativa in materia di protezione dei dati personali vigente.

h. su ragionevole richiesta dell'utente, rende disponibili le certificazioni che dimostrano la conformità di SumUp con gli obblighi previsti dal presente DPA e dalla Normativa in materia di protezione dei dati personali; e/o rende disponibili le informazioni necessarie a dimostrare la conformità con gli obblighi previsti dal presente DPA e dalla Normativa in materia di protezione dei dati personali. Le informazioni che SumUp può rendere disponibili, tenendo conto della natura dei Servizi e delle informazioni a sua disposizione, devono limitarsi esclusivamente a quelle che sono necessarie, come definito da SumUp, ad assistere l'utente nell'adempimento dei propri obblighi, in particolare con riferimento agli obblighi in materia di valutazioni d'impatto sulla protezione dei dati, consultazione preventiva e garanzia della sicurezza dei dati personali;

i. assisterà l'utente, entro tempi ragionevoli, con misure adeguate e, per quanto ragionevolmente possibile (considerata la natura del trattamento), a rispettare i diritti dell'interessato e tutti gli altri obblighi pertinenti, ai sensi della Normativa in materia di protezione dei dati personali vigente.

j. fornirà all'utente un avviso, se consentito dalla legge applicabile, dopo aver ricevuto una richiesta o un reclamo da parte di un individuo i cui dati personali sono trattati ai sensi del DPA o una richiesta vincolante da parte di un governo, delle forze dell'ordine, di un organismo di regolamentazione o di un altro ente, in relazione ai Dati dei clienti dell'utente che trattiamo per suo conto e seguendo le sue istruzioni.

4.4. Nella sua qualità di titolare del trattamento dei dati, l'utente:

a. potrà raccogliere, utilizzare e trattare i dati personali in conformità con qualsiasi Normativa in materia di protezione dei dati personali vigente;

b. ha la responsabilità esclusiva dell'accuratezza, della qualità e della liceità del trattamento dei Dati dei propri clienti, nonché dei mezzi con cui sono stati ottenuti;

c. assicura il livello adeguato di sicurezza durante l'utilizzo dei Servizi, tenendo in considerazione eventuali rischi in relazione ai Dati dei propri clienti;

d. prende atto che qualsiasi archiviazione e/o trasferimento dei Dati dei propri clienti verso terze parti o piattaforme, diverse da SumUp, avviene a suo esclusivo rischio e responsabilità;

e. si assicura che le istruzioni relative al trattamento dei dati personali, riguardanti i Dati dei propri clienti, siano conformi a tutte le leggi, i regolamenti e le norme applicabili. Si assicurerà inoltre che il trattamento dei Dati dei propri clienti, in conformità con le proprie istruzioni, non causi o provochi, da parte nostra o sua, alcuna violazione di qualsiasi legge, norma o regolamento;

f. fornirà ai propri clienti le necessarie informazioni sulle modalità e la finalità del trattamento dei loro dati personali ai sensi dei requisiti della Normativa in materia di protezione dei dati personali in vigore.

5. Notifica di violazioni. La parte informerà immediatamente l'altra parte (ma non più tardi di 48 ore) una volta a conoscenza di una violazione dei dati personali in relazione ai dati personali trattati ai sensi del presente DPA. SumUp assisterà l'utente nell'adempiere ai suoi obblighi di notifica di violazione dei dati, gli fornirà informazioni su tale violazione, per quanto sia ragionevolmente possibile divulgare, tenendo conto della natura dei Servizi, delle informazioni a nostra disposizione e di qualsiasi limitazione alla divulgazione delle informazioni, quale ad esempio la riservatezza. Nonostante quanto sopra, gli obblighi di SumUp nell'ambito di questa sezione non si applicano agli incidenti causati dall'utente, da qualsiasi attività sul suo account e/o attività di servizi di terze parti. SumUp si obbliga a collaborare e supportare l'utente con riguardo alle indagini, alla massima riduzione delle conseguenze negative e alla rettifica della violazione dei dati personali, nonché alla prevenzione di simili violazioni future di dati. La notifica di SumUp di una violazione dei dati personali non sarà considerata come un riconoscimento da parte di SumUp di qualsiasi colpa o responsabilità in relazione a tale incidente. In caso di violazione dei dati personali, l'utente sarà obbligato ad adottare le misure necessarie ai sensi delle leggi applicabili in relazione ai dati dei propri clienti.

6. Sub-responsabili del trattamento. Con il presente, l'utente concede a SumUp l'autorizzazione generale ad avvalersi di sub-responsabili al fine di fornire i Servizi senza ottenere ulteriori autorizzazioni specifiche scritte. SumUp darà esecuzione a un accordo con ciascun sub-responsabile, garantendone la conformità con termini che assicurino almeno lo stesso livello di protezione e sicurezza di quelli stabiliti nel presente DPA. Se l'utente si oppone a un sub-responsabile del trattamento e l'obiezione è ragionevole e correlata alle preoccupazioni relative alla protezione dei dati, faremo ogni ragionevole sforzo commerciale per evitare il trattamento dei Dati dei suoi clienti da parte di tale sub-responsabile. Se non siamo in grado di realizzare tali modifiche suggerite entro un periodo di tempo ragionevole, informeremo l'utente e, se quest'ultimo continua ad opporsi al nostro utilizzo di tale sub-responsabile, potrà cancellare o chiudere il suo account o, se possibile, le parti dei Servizi che comportano l'uso di tale sub-responsabile.

7. Trasferimento di dati personali. Il trattamento dei Dati dei clienti dell'utente avverrà all'interno del territorio dello Spazio economico europeo ("SEE") e del Regno Unito. Qualsiasi trasferimento e trattamento in un paese terzo al di fuori dell'UE/SEE e del Regno Unito che non garantisca un livello adeguato di protezione, adottato il regolamento di adeguatezza del Regno Unito, secondo la normativa applicabile sulla protezione dei dati, deve essere effettuato in conformità con le Clausole contrattuali standard o altri meccanismi appropriati che garantiscano un livello adeguato di sicurezza dei dati personali secondo i requisiti della Normativa in materia di protezione dei dati personali.

8. Verifiche. L'utente ha il diritto di avviare una volta all'anno una revisione degli obblighi di SumUp ai sensi del presente DPA. Entrambe le parti decidono insieme se una terza parte debba condurre la verifica. Tuttavia, l'utente potrà autorizzarci a far eseguire la revisione di sicurezza da un soggetto esterno neutro scelto da noi. Se l'ambito proposto della verifica segue un rapporto di certificazione ISO o analogo condotto da un revisore qualificato di terze parti negli ultimi dodici mesi, e SumUp conferma che non sono state apportate modifiche sostanziali alle misure in corso di revisione, questo soddisferà tutte le richieste ricevute entro tale periodo di tempo. Le verifiche non devono interferire irragionevolmente con la consueta attività di business di SumUp. Saranno a carico dell'utente tutti i costi associati alla sua richiesta di revisione della verifica. Una volta all'anno, previa richiesta scritta da parte del Titolare del trattamento e nella misura richiesta dalla Normativa in materia di protezione dei dati personali vigente, SumUp acconsente a collaborare e a fornire al Titolare del trattamento quanto indicato di seguito:

(a) un riepilogo dei resoconti di verifica che dimostrino l'efficacia delle misure tecniche e organizzative adottate da SumUp contro il trattamento non autorizzato o illecito dei dati personali e contro l'accesso non autorizzato, la perdita o la distruzione accidentali o il danneggiamento dei dati personali e

(b) conferma che la verifica non ha evidenziato sostanziali vulnerabilità dei sistemi di SumUp o, nel caso in cui una vulnerabilità di questo genere fosse stata rilevata, che SumUp vi abbia completamente posto rimedio.

Se le misure di cui sopra non sono sufficienti a confermare la conformità con la Normativa in materia di protezione dei dati personali vigente, il Titolare del trattamento potrà richiedere, con un preavviso scritto minimo di almeno trenta (30) giorni, una verifica del programma di conformità per la protezione dei dati di SumUp da parte di revisori esterni. Le parti sceglieranno di comune accordo i revisori e si accorderanno su ambito, tempistiche e durata della verifica. Il Titolare del trattamento adotterà ragionevoli provvedimenti al fine di limitare impatti negativi su SumUp derivanti da detta verifica e sarà responsabile di tutti i costi connessi alla sua richiesta di revisione e derivanti da eventuali impatti negativi. Il Titolare del trattamento metterà a disposizione di SumUp gli esiti della verifica del suo programma di conformità per la protezione dei dati.

9. Responsabilità. La responsabilità di ognuna delle parti del presente DPA è soggetta alle esclusioni e limitazioni di responsabilità definite nei Termini aggiuntivi e/o nei Termini. L'utente accetta di indennizzare e tenere indenne e difendere SumUp a proprie spese da tutti i costi, reclami, danni o spese sostenuti da SumUp o per i quali SumUp potrebbe diventare responsabile a causa di qualsiasi inadempienza dell'utente o dei suoi dipendenti o agenti nell'adempimento degli obblighi previsti dal presente DPA.

10. Scioglimento del contratto. Il presente DPA rimarrà in vigore per tutto il tempo in cui verranno utilizzati i Servizi di SumUp. Al termine dell'utilizzo dei Servizi, e salvo che SumUp non sia tenuto a conservare i Dati dei clienti dell'utente nel rispetto dei propri Termini e/o dei Termini aggiuntivi, di qualsiasi accordo o legge applicabile, SumUp dovrà, anche su richiesta scritta dell'utente, eliminare i Dati dei clienti dell'utente non appena sia ragionevolmente fattibile, in conformità con i Termini di SumUp e le leggi applicabili.

11. Dati anonimi aggregati. L'utente prende atto e accetta che SumUp possa trattare dati aggregati di qualsiasi tipo relativi all'utente e ai suoi Clienti, compresi i dati di utilizzo dei Servizi. Il Cliente prende atto, accetta e acconsente che SumUp possa utilizzare tali dati anonimi aggregati (senza che tale elenco sia esaustivo) per analizzare, migliorare e gestire i propri Servizi e, in generale, per qualsiasi attività commerciale, per tutta la durata del DPA ma anche dopo la sua cessazione, per contribuire ad analisi di mercato, produrre statistiche, migliorare i propri Prodotti e Servizi e la loro sicurezza, seguendo le buone prassi industriali e/o le raccomandazioni.

12. Varie

12.1. In caso di conflitto tra il presente DPA e una qualsiasi dei Termini e/o dei Termini aggiuntivi di SumUp, prevarranno le disposizioni del presente DPA.

12.2. L'utente si accollerà eventuali costi e spese derivanti dall'adesione, da parte di SumUp, alle istruzioni o alle richieste dell'utente nell'ambito dei Termini aggiuntivi (compreso il presente DPA) che non rientrino nelle funzionalità standard messe generalmente a disposizione da SumUp tramite i Servizi.

12.3. SumUp avrà il diritto di emendare e/o modificare uno qualsiasi dei termini del presente DPA, secondo quanto periodicamente previsto. Le modifiche al DPA saranno comunicate in modo adeguato e apportate da SumUp in un allegato separato o con altri mezzi visibili, compresa la pubblicazione di una versione aggiornata del DPA sul nostro sito web. La voce "Ultima modifica" in cima al presente DPA indica la data di ultima revisione del presente DPA.

12.4. Eventuali domande riguardanti il presente DPA o altre richieste relative al trattamento dei dati personali devono essere indirizzate alla nostra attenzione tramite [email protected]. SumUp tenterà di risolvere eventuali reclami riguardanti l'utilizzo dei Dati dei clienti dell'utente in conformità con il presente DPA, con i Termini e le politiche interne di SumUp.

12.5. Qualora una delle disposizioni del DPA fosse ritenuta non valida, ciò non pregiudica le restanti disposizioni. Le parti sostituiranno le disposizioni non valide con una disposizione legale che rifletta lo scopo della disposizione non valida.

12.6. Le presenti Condizioni saranno disciplinate da e interpretante ai sensi delle leggi che disciplinano i Termini aggiuntivi applicabili.

Appendice n. 1

1. Oggetto. L'oggetto è il trattamento dei dati nell'ambito del presente DPA.

2. Finalità e natura del trattamento. La finalità del trattamento dei dati nell'ambito del presente DPA è la fornitura e il miglioramento dei Servizi avviati dall'utente.

3. Durata. Come stabilito tra noi e l'utente, la durata del trattamento dei dati nell'ambito del presente DPA è determinata dall'utente ed è relativa al periodo scelto per l'utilizzo dei nostri Servizi.

4. Categorie di interessati. I clienti dell'utente, i potenziali clienti dei suoi clienti, i dipendenti e i contabili dell'utente (per la fatturazione e la contabilità) e qualsiasi altro soggetto i cui dati personali sono inclusi nei Contenuti. Per Buono acquisto, gli acquirenti o i destinatari di buoni acquisto o altre persone i cui dati personali sono trattati nell'ambito dei Servizi di Buono Acquisto ai sensi dei Termini aggiuntivi e dei Termini di SumUp.

5. Tipo di Dati personali. I Dati dei clienti dell'utente sono trattati nell'ambito dei Servizi ai sensi dei Termini e delle istruzioni fornite. Questi dati possono essere diversi in base ai Servizi utilizzati e possono includere, a titolo indicativo ma non esaustivo:

Negozio Online

I nomi, indirizzo email, numero di telefono cellulare/fisso, indirizzo fisico, dettagli dl pagamento, cronologia delle transazioni/degli ordini, indirizzo IP, informazioni raccolte da cookie o da tecnologie simili, preferenze di marketing dei clienti dell'utente. 

Buono Acquisto

Nomi e indirizzi email del cliente che acquista e che riceve il buono acquisto, importo del buono acquisto, messaggio sul buono acquisto.

Fatturazione e contabilità

Nomi, indirizzo fisico, numero di telefono cellulare/fisso, indirizzo email, numero del conto e/o coordinate bancarie, oggetto della fattura, dati relativi alla transazione/all'ordine, stato delle fatture. 

Per il registratore di cassa

Nomi, indirizzo fisico, numero di telefono cellulare/fisso, indirizzo email, dati relativi alla transazione/all'ordine; per i dipendenti dell'utente: numero di matricola, credenziali di accesso, indirizzo IP, ruolo, email, ordini, lingua preferita. 

Le categorie speciali di dati personali, compresi quelli relativi ai reati e alle condanne penali, non sono ritenute passibili di trattamento nell'ambito dei Servizi, pertanto sono escluse dai termini del presente DPA. Qualora tali dati fossero trattati durante l'utilizzo dei nostri Servizi, ciò avverrebbe all'insaputa di SumUp e l'utente è tenuto a eliminare dette informazioni immediatamente dopo aver identificato tale trattamento.