Datu apstrādes līgums

Spēkā kopš 15.08.2022.

Pēdējoreiz atjaunināts: 15.08.2022.

Šis Datu apstrādes līgums (“DPA”) ir daļa no un uz to attiecas SumUp E-komercijas noteikumi (“Līgums”, “Papildu noteikumi”), Privātuma politika un visi citi piemērojamie SumUp noteikumi un nosacījumi (šeit — “Noteikumi”, “Privātuma politika”), kas noslēgti un pieņemti starp jums kā SumUp tirgotāju (“jūs”, “Datu pārzinis”) un SumUp EU Payments UAB, Konstitucijos ave. 21B, 08130, Viļņa, Lietuva (“SumUp”, “mēs”, “Datu apstrādātājs”), kas ir daļa no SumUp S.A.R.L. uzņēmumu grupas, — SumUp Group.

Katra puse piekrīt un nodrošina, ka šī DPA noteikumi ir pilnībā piemērojami arī to sadarbības partneriem, kas var būt iesaistīti personas datu apstrādē Papildu noteikumos definēto Pakalpojumu sniegšanas nolūkā. Jo īpaši SumUp nodrošina, ka visi apakšapstrādātāji darbojas saskaņā ar tiem pašiem noteikumiem, kas noteikti šajā DPA, kad viņi apstrādā Jūsu klientu datus.

Lai jums sniegtu Pakalpojumus saskaņā ar Papildu noteikumiem, SumUp apstrādā jūsu vietnes vai pakalpojumu klientu vai apmeklētāju datus (“Jūsu klienti”, “Klienti”). Šāda SumUp veikta datu apstrāde turpmāk tiek dēvēta par “apstrādi” (nozīmē, kādā šis termins ir definēts VDAR). Tālāk esošajā Datu apstrādes līguma daļā ir izklāstīti šādas SumUp veiktās apstrādes noteikumi.

  1. Definīcijas

1.1. “Piemērojamie datu aizsardzības tiesību akti” apzīmē Regulu (ES) 2016/679 (“Vispārīgā datu aizsardzības regula”, “VDAR”, “Regula”), kā arī visus citus spēkā esošos, piemērojamos tiesību aktus, kas reglamentē personas datu apstrādi, tostarp piemērojamo E-privātuma direktīvu 2002/58/EK.

1.2. Terminiem “pārzinis”“datu subjekts”“personas dati”“apstrādāt”“apstrāde” un“apstrādātājs” ir nozīmes, kas tiem ir piešķirtas VDAR.

1.3. “Saturs” apzīmē jūsu Saturu un jebkuru saturu, kuru Jūsu klienti snieguši SumUp, tostarp, bez ierobežojuma, tekstu, fotoattēlus, attēlus, audio, video, kodus, informāciju no sīkfailiem vai līdzīgām izsekošanas tehnoloģijām un jebkurus citus materiālus.

1.4. “Jūsu klientu dati” apzīmē Jūsu klienta(-u) Saturā ietvertos personas datus, ko jūsu vārdā un Pakalpojumu ietvaros apstrādā SumUp. Jūsu klientu dati neietver personas datus, kad tos kontrolē SumUp. Visām definīcijām, kas tiek lietotas pašreizējā DPA, bet kam nav sniegta skaidra definīcija šajā sadaļā, ir Papildu noteikumos definētā nozīme. Ja Papildu noteikumos vai Noteikumos nav sniegta konkrēta definīcija, to nozīme ir tā, kas piešķirta VDAR vai citos piemērojamajos noteikumos, ja tā nav definēta Regulā.

2. Piemērojamība. Šis DPA ir piemērojams tikai attiecībā uz Jūsu klientu datiem un tikai tad, ja ir piemērojama VDAR. Jūs piekrītat, ka SumUp neatbild par personas datiem, ko izvēlējāties apstrādāt, izmantojot trešo pušu pakalpojumus vai ārpus Pakalpojumiem, tostarp izmantojot jebkuras citas trešās puses mākoņpakalpojumu, bezsaistes vai vietnes krātuves sistēmas.

3. Papildinformācija par Datu apstrādi

3.1. Priekšmets. Datu apstrādes priekšmets šajā DPA ir Jūsu klientu dati.

3.2. Ilgums. Līdz ar vienošanos starp jums un mums datu apstrādes ilgumu saskaņā ar šo DPA nosakāt jūs atbilstoši konkrētajam periodam, kādā izvēlaties izmantot mūsu Pakalpojumus.

3.3. Mērķis. Datu apstrādes mērķis saskaņā ar šo DPA ir jūsu uzsākto Pakalpojumu sniegšana un uzlabošana. 

3.4. Apstrādes raksturs. Pakalpojumi, kā tie aprakstīti Papildu noteikumos un ko uzsākat jūs laiku pa laikam.

3.5. Personas datu veids. Jūsu klientu dati, kas attiecas uz jums, Jūsu klientiem vai citām privātpersonām, kuru personas dati ir iekļauti Saturā, kas tiek apstrādāts Pakalpojumu ietvaros saskaņā ar sniegtajiem norādījumiem. Šie dati ietver, bet neaprobežojas ar, Jūsu klientu vārdiem un uzvārdiem, e-pasta adresi, mobilā tālruņa/tālruņa numuru, fizisko adresi, bankas informāciju, darījumu vēsturi, IP adresi. Īpašu kategoriju personas dati, tostarp dati, kas attiecas uz sodāmību un pārkāpumiem, nepieder pie apstrādājamajiem datiem Pakalpojumu ietvaros, un tie nav iekļauti šī DPA noteikumos. Ja šādi dati tiek apstrādāti, izmantojot mūsu Pakalpojumus, tas notiek bez SumUp ziņas, un jums šī informācija jādzēš nekavējoties, tiklīdz uzzināt par šādu apstrādi.

3.6. Datu subjektu kategorijas. Jūs, Jūsu klienti, jūsu klientu potenciālie klienti un jebkuras citas privātpersonas, kuru personas dati ir iekļauti Saturā.

4. Tiesības un pienākumi

4.1. Ciktāl Jūsu klientu datus apstrādā SumUp jūsu vārdā un uz šo apstrādi attiecas Vispārīgā datu aizsardzības regula (Regula (ES) 2016/679; “VDAR”), jūs atzīstat un piekrītat, ka SumUp veiktās Pakalpojumu sniegšanas nolūkos jūs esat šādu personas Datu pārzinis un, izmantojot SumUp Pakalpojumus, jūs esat sniedzis rīkojumu SumUp apstrādāt Jūsu klientu datus jūsu vārdā un saskaņā ar šo DPA.

4.2. Jūs jebkurā posmā varat atsaukt šī DPA pieņemšanu, taču šādā gadījumā SumUp vairs nevarēs jums sniegt Pakalpojumu.

4.3. SumUp darbojoties kā personas datu apstrādātājs:

A. apstrādā Jūsu klientu datus tikai DPA norādītajos nolūkos un saskaņā ar piemērojamajiem tiesību aktiem un DPA;

B. drīkst darboties un apstrādāt Jūsu klientu datus tikai saskaņā ar jūsu dokumentētajiem norādījumiem, ja vien tiesību akti, Tiesas rīkojums vai tiesību aktu pasākumi nenosaka darbību bez šiem norādījumiem. Jūsu norādījumi šī DPA noslēgšanas laikā ir, ka SumUp drīkst apstrādāt Jūsu klientu datus tikai Pakalpojumu sniegšanas nolūkā, kā aprakstīts DPA un Papildu noteikumos. Atbilstoši šī DPA noteikumiem un abām pusēm savstarpēji vienojoties jūs drīkstat sniegt papildu rakstiskus norādījumus, kas saskan ar šī DPA noteikumiem;

C. garantē, ka personas, kurām ir atļauja apstrādāt personas datus, ir uzņēmušās konfidencialitātes saistības vai tām ir juridisks pienākums ievērot konfidencialitātes saistības;

D. garantē, ka piekļuve personas datiem tiek piešķirta atbilstoši vajadzībai pēc informācijas un saistībā ar Pakalpojumu izpildi saskaņā ar Papildu noteikumiem;

E. atbild par to, lai darbinieki/apakšuzņēmēji un/vai jebkādi aģenti, kas apstrādā Jūsu klientu datus, apstrādātu personas datus tikai saskaņā ar jūsu norādījumiem;

F. nekavējoties jūs informēs gadījumā, ja uzskatīs, ka daži jūsu norādījumi ir pretrunā ar Piemērojamajiem datu aizsardzības tiesību aktiem;

G. saskaņā ar šo DPA ir pienākums aizsargāt Jūsu klientu datus pret jebkādu iznīcināšanu, mainīšanu, zudumu vai jebkādu citu neatļautu apstrādi. Šajā nolūkā SumUp veic atbilstošus drošības pasākumus saskaņā ar piemērojamajiem tiesību aktiem. SumUp lietotie tehniskie un organizatoriskie pasākumi ir atkarīgi no tehnisko sasniegumu līmeņa. Pastāv iespēja, ka SumUp ieviesīs alternatīvus, atbilstošus pasākumus. Ieviešot šādas alternatīvas, nedrīkst samazināt definēto drošības pasākumu līmeni. SumUp palīdzēs jums īstenot atbilstošus tehniskos un organizatoriskos pasākumus, kā nepieciešams, un, ņemot vērā apstrādes raksturu un SumUp pieejamās informācijas kategoriju, palīdzēs nodrošināt atbilstību jūsu pienākumiem, kas noteikti Piemērojamajos datu aizsardzības tiesību aktos;

H. saņemot pamatotu pieprasījumu, sniedz sertifikātus, kas pierāda SumUp atbilstību tā pienākumiem saskaņā ar šo DPA un Piemērojamajiem datu aizsardzības tiesību aktiem; un/vai sniedz informāciju, kas nepieciešama, lai pierādītu atbilstību pienākumiem saskaņā ar šo DPA un piemērojamajiem datu aizsardzības tiesību aktiem. Informācija, kas jāsniedz SumUp, ir ierobežota līdz tikai nepieciešamajai informācijai, ņemot vērā Pakalpojumu raksturu un SumUp pieejamo informāciju, lai palīdzētu jums izpildīt jūsu pienākumus, jo īpaši saistībā ar VDAR 32. un 36. pantu (pienākumi attiecībā uz datu aizsardzības ietekmes novērtējumu, iepriekšēju konsultēšanu un personas datu drošības nodrošināšanu);

I. saprātīgā laika posmā, veicot atbilstošus pasākumus un ciktāl tas praktiski iespējams (ņemot vērā apstrādes raksturu), palīdzēs jums nodrošināt atbilstību datu subjektu tiesībām un visiem citiem atbilstošajiem pienākumiem saskaņā ar datu privātuma regulām, tostarp VDAR;

J. sniegs jums paziņojumu, ja to atļauj piemērojamie tiesību akti, kad saņems pieprasījumu vai sūdzību no privātpersonas, kuras personas dati ir iekļauti jūsu Saturā, vai arī saistošu pieprasījumu no valsts, tiesībaizsardzības, regulatīvās vai citas iestādes saistībā ar Jūsu klientu datiem, ko mēs apstrādājam jūsu vārdā un saskaņā ar jūsu norādījumiem.

4.4. Jūs darbojoties kā personas datu pārzinis:

A. apkopojat, izmantojat un apstrādājat Saturā iekļautos personas datus saskaņā ar jebkuriem un visiem Piemērojamajiem datu aizsardzības tiesību aktiem;

B. pilnībā atbildat par Jūsu klientu datu pareizumu, kvalitāti un likumīgu apstrādi, kā arī to iegūšanas veidiem;

C. nodrošināt atbilstošu drošības līmeni Pakalpojumu lietošanas laikā, ņemot vērā visus riskus, kas saistīti ar Jūsu klientu datiem;

D. apliecināt, ka jūs uzņematies visu risku un atbildību par visām darbībām, ko veicat ar Savu klientu datiem, tos glabājot un/vai pārsūtot uz jebkuru trešās puses platformu vai platformu, kas nav SumUp;

E. nodrošināt, ka jūsu norādījumi attiecībā uz personas datu apstrādi atbilst visiem tiesību aktiem, regulām un noteikumiem, kas ir piemērojami saistībā ar Jūsu klientu datiem. Jūs arī nodrošināt, ka Jūsu klientu datu apstrāde saskaņā ar jūsu norādījumiem nerada vai neizraisa situāciju, kurā mēs vai jūs pārkāpjam jebkādus tiesību aktus, noteikumus vai regulas (tostarp VDAR).

5. Paziņojumi par pārkāpumiem. Puse nekavējoties informē otru pusi (taču ne vēlāk kā 48 stundu laikā), kad tā uzzina par personas datu pārkāpumu saistībā ar personas datiem, kas apstrādāti saskaņā ar šo DPA. SumUp palīdzēs jums ievērot atbilstību paziņošanas pienākumiem, kas noteikti VDAR 33. un 34. pantā, sniegs jums attiecīgo informāciju par pārkāpumu, ko var jums izpaust, ņemot vērā Pakalpojumu raksturu, mums pieejamo informāciju un jebkādus ierobežojumus, kas attiecas uz informācijas izpaušanu, piemēram, konfidencialitātes ievērošanu. Neraugoties uz iepriekš minēto, SumUp pienākumi, kas izklāstīti šajā sadaļā, neattiecas uz jūsu izraisītiem incidentiem, jebkādām darbībām jūsu kontā un/vai trešo pušu pakalpojumos. SumUp ir pienākums sadarboties un sniegt jums atbalstu saistībā ar izmeklēšanu, negatīvo seko mazināšanu un personas datu pārkāpuma labošanu, kā arī turpmāku līdzīgu datu pārkāpumu novēršanu. SumUp paziņojums par personas datu pārkāpumu nav uzskatāms par SumUp apstiprinājumu par jebkādu kļūmi vai atbildību saistībā ar šo incidentu. Personas datu pārkāpuma gadījumā jums ir pienākums veikt pasākumus, kas noteikti piemērojamajos tiesību aktos saistībā ar Jūsu klientu datiem.

6. Apakšapstrādātāji. Ar šo jūs piešķirat SumUp vispārīgu atļauju iesaistīt apakšapstrādātājus, lai sniegtu Pakalpojumus bez nepieciešamības iegūt jebkādas turpmākas rakstiskas, konkrētas atļaujas. SumUp izpilda līgumu ar katru apakšapstrādātāju, nodrošinot, ka šie apakšapstrādātāji ievēro noteikumus un ka tiek ievērots vismaz tāds pats aizsardzības un drošības līmenis, kāds izklāstīts šajā DPA. Ja iebildīsiet pret jebkuru apakšapstrādātāju un jūsu iebildums būs pamatots un saistīts ar bažām par datu aizsardzību, mēs veiksim komerciāli pamatotus pasākumus, lai jums sniegtu iespēju izvairīties no situācijas, kurā Jūsu klientu datus apstrādā apakšapstrādātājs, pret kuru iebilstat. Ja nevarēsim ierosinātās izmaiņas veikt saprātīgā laika posmā, mēs jums par to paziņosim, un, ja joprojām iebildīsiet pret attiecīgā apakšapstrādātāja pakalpojumu izmantošanu, varat atcelt vai izbeigt savu kontu vai, ja iespējams, tās Pakalpojumu daļas, kurās iesaistīta šī apakšapstrādātāja pakalpojumu izmantošana.

7. Personas datu pārsūtīšana. Jūsu klientu datu Apstrāde notiek Eiropas Ekonomikas zonas (“EEZ”) teritorijā. Jebkāda pārsūtīšana uz trešo valsti ārpus ES/EEZ, kas saskaņā ar Eiropas Komisiju nenodrošina pienācīgu aizsardzības līmeni, un apstrāde tajā tiek veikta atbilstoši Līguma standartklauzulām vai citam piemērotam mehānismam, kas garantē pienācīgu personas datu drošības līmeni saskaņā ar VDAR V nodaļā aprakstītajām prasībām.

8. Revīzijas. Jums ir tiesības reizi gadā uzsākt SumUp pienākumu, kas noteikti šajā DPA, pārskatīšanu. Ja SumUp ir pienākums to darīt saskaņā ar piemērojamajiem tiesību aktiem, revīzijas var atkārtoti reizi gadā. Abas puses kopā izlemj, vai revīzija ir jāveic trešajai pusei. Taču jūs varat ļaut mums izvēlēties neitrālu trešo pusi, kas veic šo drošības pārskatīšanu, ja apstrādes vide ir tāda, kurā tiek apstrādāti vairāku datu pārziņu dati. Ja ierosinātās revīzijas jomas tiek noteiktas, pamatojoties uz ISO vai līdzīgu sertifikācijas ziņojumu, ko veicis kvalificēts trešās puses revidents iepriekšējo divpadsmit mēnešu laikā, un SumUp apstiprina, ka pārskatāmajos jautājumos nav būtisku izmaiņu, tas apmierina visus šajā laika periodā saņemtos pieprasījumus. Revīzijas nedrīkst nepamatoti traucēt SumUp ierastajai uzņēmējdarbībai. Jūs esat atbildīgs par visām izmaksām, kas saistītas ar pieprasījumu veikt revīzijas pārskatīšanu.

9. Saistības. Uz katras puses saistībām saskaņā ar šo DPA attiecas atbildības izslēgšana un ierobežojumi, kas izklāstīti Papildu noteikumos un/vai Noteikumos. Jūs piekrītat, ka visas datu subjektu vai citu personu regulatīvās sankcijas vai prasības, kas radītas SumUp saistībā ar Jūsu klientu datiem un ko izraisījusi jūsu nespēja izpildīt savus pienākumus, kas noteikti šajā DPA vai Piemērojamajos datu aizsardzības tiesību aktos, vai kas radušās saistībā ar to, samazina SumUp maksimālās kopējās saistības pret jums saskaņā ar Papildu noteikumiem un/vai Noteikumiem par tādu pašu summu kā soda nauda un/vai mums radītās saistības.

10. Izbeigšana. Šis DPA ir spēkā tik ilgi, kamēr izmantojat jebkuru no SumUp Pakalpojumiem. Taču, ja SumUp ir pienākums saskaņā ar šī DPA noteikumiem vai jebkuriem SumUp Noteikumiem un nosacījumiem glabāt Jūsu klientu personas datus pēc Pakalpojumu izbeigšanas, šis DPA paliek spēkā tik ilgi, cik SumUp ir pienākums glabāt šos personas datus. Pēc Pakalpojumu izmantošanas izbeigšanas, ja vien SumUp nav pienākuma saglabāt Jūsu klientu datus saskaņā ar SumUp Papildu noteikumiem un/vai Noteikumiem, jebkuru līgumu vai piemērojamajiem tiesību aktiem, SumUp dzēš Jūsu klientu datus, tostarp pēc jūsu rakstiska pieprasījuma, tiklīdz tas ir praktiski iespējams, kā arī atbilstoši SumUp Noteikumiem un piemērojamajiem tiesību aktiem.

11. Dažādi.

11.1. Ja rodas pretrunas starp šo DPA un jebkuru no SumUp Papildu noteikumiem un/vai Noteikumiem, noteicošie ir šī DPA nosacījumi.

11.2. Jūs esat atbildīgs par visām izmaksām un izdevumiem, kas rodas, SumUp ievērojot jūsu norādījumus vai pieprasījumus, saskaņā ar Papildu noteikumiem (tostarp šo DPA), ja tie neietilpst standarta funkcijās, ko SumUp vispārīgi nodrošina, sniedzot Pakalpojumus.

11.3. SumUp ir tiesības laiku pa laikam grozīt un/vai pielāgot jebkuru no šī DPA noteikumiem, kā nepieciešams. SumUp izmaiņas Līgumā var veikt atsevišķā Pielikumā vai izmantojot citas pamanāmas metodes, un par tām tiks sniegts atbilstošs paziņojums.

11.4. Visi jautājumi par šo DPA vai citi pieprasījumi, kas saistīti ar personas datu apstrādi, ir jānosūta mums uz [email protected] SumUp centīsies atrisināt visas sūdzības, kas saistības ar Jūsu klientu datu izmantošanu, saskaņā ar šo DPA, Noteikumiem un SumUp iekšējām politikām.

11.5. Ja jebkurš no DPA nosacījumiem ir uzskatāms par spēkā neesošu, tas neietekmē pārējos nosacījumus. Puses aizstāj spēkā neesošos nosacījumus ar tiesisku nosacījumu, kas atspoguļo spēkā neesošā nosacījuma mērķi.

11.6. Šo Līgumu reglamentē un interpretē saskaņā ar Lietuvas tiesību aktiem. Jebkurš strīds, kas izriet no šī Līguma vai ir saistīts ar to, ir iesniedzams izskatīšanai un galīgajai atrisināšanai Lietuvas Tiesā, izņemot gadījumus, kad to aizliedz ES tiesību akti.