Verwerkersovereenkomst

Van kracht vanaf 09-04-2020

Laatst bijgewerkt op 15-12-2021

Deze gegevensverwerkingsovereenkomst ('DPA') maakt deel uit van, en is onderhevig aan, de bepalingen van de e-commercevoorwaarden van SumUp (de 'overeenkomst', de 'aanvullende voorwaarden'), het privacybeleid en alle andere toepasselijke algemene voorwaarden van SumUp (hierin de 'Voorwaarden', het 'privacybeleid') die zijn gesloten en overeengekomen door en tussen u als verkoper via SumUp ('u', 'gegevensbeheerder') en SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Ierland D02 K580 ('SumUp', 'wij', 'verwerkingsverantwoordelijke'), onderdeel van SumUp SARL Group Companies – SumUp Group.

Elke partij aanvaardt en waarborgt dat de voorwaarden van deze verwerkersovereenkomst ook volledig van toepassing zijn op haar gelieerde ondernemingen die mogelijk betrokken zijn bij de verwerking van persoonsgegevens voor de diensten die zijn gedefinieerd in de aanvullende voorwaarden. SumUp zorgt er met name voor dat alle subverwerkers bij het verwerken van uw klantgegevens voldoen aan dezelfde voorwaarden als in deze verwerkersovereenkomst.

Om u de diensten onder de aanvullende voorwaarden te leveren, verwerkt SumUp gegevens van klanten of bezoekers van uw website of diensten ('uw klanten', 'klanten'). De verwerking van deze gegevens door SumUp wordt hierna 'verwerking' genoemd (zoals gedefinieerd in de AVG). In de volgende verwerkersovereenkomst worden de voorwaarden van een dergelijke verwerking door SumUp uiteengezet.

1. Definities

1.1. 'Toepasselijke wetgeving inzake gegevensbescherming' heeft de betekenis van Verordening (EU) 2016/679 (de 'Algemene verordening gegevensbescherming', 'AVG', de 'Verordening'), evenals alle andere toepasselijke wetgeving die van kracht is met betrekking tot de verwerking van persoonsgegevens, inclusief indien van toepassing e-privacyrichtlijn 2002/58/EG.

1.2. De termen 'controller', 'betrokkene', 'persoonsgegevens', 'proces', 'verwerking' en 'verwerker' hebben de betekenis die aan deze voorwaarden in de AVG wordt gegeven.

1.3. 'Inhoud' heeft de betekenis van uw inhoud en alle inhoud die door uw klanten aan SumUp is verstrekt, inclusief, maar niet beperkt tot tekst, foto's, afbeeldingen, audio, video, code, informatie van cookies of vergelijkbare volgtechnologieën en ander materiaal.

1.4. 'De gegevens van uw klanten' verwijst naar de persoonsgegevens in de inhoud van uw klant(en) die SumUp, namens u, verwerkt als onderdeel van de diensten. De gegevens van uw klanten bevatten geen persoonsgegevens wanneer dergelijke gegevens worden beheerd door SumUp. Alle definities die in deze DPA worden gebruikt, maar die in deze sectie geen expliciete definitie hebben, hebben de betekenis die is gedefinieerd in de aanvullende voorwaarden. Als de aanvullende voorwaarden of de voorwaarden geen specifieke definitie bevatten, zal hun betekenis overeenkomen met de definitie in de AVG of in de andere toepasselijke regels, indien niet gedefinieerd in de verordening.

2. Toepasselijkheid. Deze verwerkersovereenkomst is alleen van toepassing met betrekking tot de gegevens van uw klanten en alleen als de AVG van toepassing is. U gaat ermee akkoord dat SumUp niet verantwoordelijk is voor persoonsgegevens die u laat verwerken via diensten van derden of buiten de diensten, inclusief de systemen van andere clouddiensten van derden, offline opslag en lokale opslag.

3. Details van gegevensverwerking

3.1. Onderwerp. Het onderwerp van de gegevensverwerking onder deze verwerkersovereenkomst zijn de gegevens van uw klanten.

3.2. Duur. Wat de overeenkomst tussen u en ons betreft, wordt de duur van de gegevensverwerking onder deze verwerkersovereenkomst bepaald door u en voor de geselecteerde periode waarvoor u ervoor kiest om onze diensten te gebruiken.

3.3. Doel. Het doel van de gegevensverwerking onder deze DPA betreft het leveren en verbeteren van de door u geïnitieerde diensten. 

3.4. Aard van de verwerking. De diensten zoals beschreven in de aanvullende voorwaarden en zoals van tijd tot tijd door u geïnitieerd.

3.5. Type persoonsgegevens. De gegevens van uw klanten met betrekking tot u, uw klanten of andere personen wier persoonsgegevens zijn opgenomen in de inhoud die wordt verwerkt als onderdeel van de diensten in overeenstemming met de gegeven instructies. Deze gegevens omvatten, maar zijn niet beperkt tot, naam, e-mailadres, (mobiel) telefoonnummer, fysiek adres, bankgegevens, transactiegeschiedenis, IP-adres van uw klanten. Speciale categorieën persoonsgegevens, waaronder gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, worden niet geacht te worden verwerkt onder de diensten en zijn uitgesloten van de voorwaarden van deze verwerkersovereenkomst. Als deze gegevens tijdens het gebruik van onze diensten worden verwerkt, is dit zonder medeweten van SumUp en moet u dergelijke informatie onmiddellijk verwijderen nadat u een dergelijke verwerking heeft geïdentificeerd.

3.6. Categorieën van betrokkenen. U, uw klanten, de potentiële klanten van uw klanten en alle andere personen wier persoonsgegevens zijn opgenomen in de inhoud.

4. Rechten en verplichtingen

4.1. Voor zover de gegevens van uw klanten namens u door SumUp worden verwerkt en deze verwerking onderhevig is aan de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679; de 'AVG'), erkent en aanvaardt u dat u voor de verlening van de diensten door SumUp de gegevensbeheerder bent van dergelijke persoonsgegevens en dat u SumUp door diens diensten te gebruiken, hebt geïnstrueerd om de gegevens van uw klanten namens U te verwerken, overeenkomstig deze verwerkersovereenkomst.

4.2. U kunt de aanvaarding van deze verwerkersovereenkomst op elk moment intrekken, maar hierdoor kan SumUp u de diensten niet langer leveren.

4.3. SumUp in haar hoedanigheid van verwerker van persoonsgegevens:

A. Verwerkt de gegevens van uw klanten alleen voor de doeleinden die zijn gespecificeerd in de DPA en in overeenstemming met de toepasselijke wetgeving en de DPA;

b. Mag de gegevens van uw klanten alleen verwerken in overeenstemming met uw gedocumenteerde instructies, tenzij via een gerechtelijk bevel of wetgevende maatregel, wettelijk wordt vereist om zonder een dergelijke instructie te handelen. Uw instructies, op het moment dat u deze verwerkersovereenkomst aangaat, is dat SumUp de gegevens van uw klanten alleen mag verwerken voor het leveren van de diensten zoals beschreven in de verwerkersovereenkomst en de aanvullende voorwaarden. Onderhevig aan de voorwaarden van deze verwerkersovereenkomst en met wederzijdse instemming van beide partijen, mag u aanvullende schriftelijke instructies geven in overeenstemming met de voorwaarden van deze verwerkersovereenkomst;

c. Garandeert dat de personen die zijn gemachtigd om persoonsgegevens te verwerken de vertrouwelijkheidsverplichting zijn aangegaan of wettelijk zijn verplicht tot geheimhouding.

D. Garandeert dat de toegang tot de persoonsgegevens wordt verleend op 'need to know'-basis met betrekking tot de uitvoering van de diensten onder de aanvullende voorwaarden;

e. Is ervoor verantwoordelijk dat medewerkers/onderaannemers en/of medewerkers die de gegevens van uw klanten verwerken de persoonsgegevens alleen verwerken in overeenstemming met uw instructies.

F. Zal u onmiddellijk informeren wanneer wij van mening zijn dat sommige van uw instructies in strijd zijn met de toepasselijke wetgeving inzake gegevensbescherming;

G. Is verplicht om de gegevens van uw klanten onder deze DPA te beschermen tegen vernietiging, wijziging, verlies en andere ongeoorloofde verwerking. Daartoe neemt SumUp passende beveiligingsmaatregelen in overeenstemming met de toepasselijke wetgeving. De door SumUp toegepaste technische en organisatorische maatregelen zijn afhankelijk van de technische vooruitgang. Het is mogelijk dat SumUp een aantal alternatieve geschikte maatregelen introduceert. Het is niet mogelijk om het niveau van de gedefinieerde beveiligingsmaatregelen te verlagen wanneer dergelijke alternatieven worden geïntroduceerd. SumUp zal u bijstaan met passende technische en organisatorische maatregelen zoals vereist en, afhankelijk van de aard van de behandeling en de categorie informatie waarover SumUp beschikt, u helpen om ervoor te zorgen dat uw verplichtingen onder de toepasselijke wetgeving inzake gegevensbescherming worden nageleefd.

h. Stelt op uw redelijke verzoek certificeringen beschikbaar die aantonen dat SumUp voldoet aan zijn verplichtingen onder deze DPA en de toepasselijke wetgeving inzake gegevensbescherming, en/of stelt informatie beschikbaar die nodig is om de naleving van verplichtingen onder deze DPA en toepasselijke wetgeving inzake gegevensbescherming aan te tonen. De door SumUp beschikbaar gestelde informatie is beperkt tot uitsluitend noodzakelijke informatie, rekening houdend met de aard van de diensten en de informatie waarover SumUp beschikt, om u te helpen aan uw verplichtingen te voldoen, met name met betrekking tot art. 32 en 36, AVG (verplichtingen met betrekking tot effectbeoordelingen met betrekking tot gegevensbescherming, voorafgaand overleg en het waarborgen van de beveiliging van persoonsgegevens);

i. Zal u binnen redelijke termijnen helpen door middel van passende maatregelen en, voor zover redelijkerwijs mogelijk (afhankelijk van de aard van de verwerking), om te voldoen aan de rechten van de betrokkene en alle andere relevante verplichtingen onder de privacywetgeving, inclusief de AVG.

J. Zal u, indien toegestaan door de toepasselijke wetgeving, op de hoogte stellen na ontvangst van een verzoek of klacht van een persoon wiens persoonsgegevens in uw inhoud zijn opgenomen of van een bindend verzoek van een overheid, wetshandhavings-, regelgevende of andere instantie, met betrekking tot gegevens van uw klanten die wij namens u verwerken en instructies.

4.4. U in de hoedanigheid van verwerkingsverantwoordelijke:

A. zal persoonsgegevens in de inhoud verzamelen, gebruiken en verwerken in overeenstemming met alle toepasselijke wetgeving inzake gegevensbescherming;

B. bent als enige verantwoordelijk voor de nauwkeurigheid, kwaliteit en rechtmatige verwerking van de gegevens van uw klanten en de middelen waarmee deze zijn verkregen.

C. Zorgt voor het juiste beveiligingsniveau bij het gebruik van de diensten, rekening houdend met eventuele risico's met betrekking tot de gegevens van uw klanten;

D. Erkent dat elke opslag en/of overdracht van de gegevens van uw klanten naar een externe partij of platform, behalve SumUp, voor uw eigen risico en verantwoordelijkheid komt.

E. waarborgt dat uw instructies met betrekking tot de verwerking van persoonsgegevens voldoen aan alle wetten, voorschriften en regels die van toepassing zijn met betrekking tot de gegevens van uw klanten. U waarborgt tevens dat de verwerking van de gegevens van uw klanten volgens uw instructies er niet de oorzaak van zal zijn of er niet toe zal leiden dat u of wij wetten, regels of voorschriften (inclusief de AVG) zullen overtreden.

5. Meldingen van overtredingen. De partij zal de andere partij onmiddellijk (maar uiterlijk 48 uur) nadat zij van een inbreuk op gegevens op de hoogte wordt gesteld informeren met betrekking tot persoonsgegevens die op grond van deze DPA worden verwerkt. SumUp zal u bijstaan bij het voldoen aan uw meldingsverplichtingen onder de artikelen 33 en 34 van de AVG, u voorzien van informatie over de overtreding die wij redelijkerwijs met u kunnen delen, rekening houdend met de aard van de diensten, de informatie die wij tot onze beschikking hebben en eventuele beperkingen op het openbaar maken van de informatie, zoals bijvoorbeeld vertrouwelijkheid. Ondanks het voorgaande zijn de verplichtingen van SumUp onder deze sectie niet van toepassing op incidenten die door u worden veroorzaakt, activiteiten binnen uw account en/of diensten van externe partijen. SumUp is verplicht om mee te werken en u te ondersteunen bij het onderzoek, om de negatieve gevolgen te minimaliseren en om de inbreuk met betrekking tot persoonsgegevens te corrigeren toekomstige soortgelijke overtredingen te voorkomen. De melding door SumUp van een inbreuk in verband met persoonsgegevens wordt niet beschouwd als een erkenning van enige fout of aansprakelijkheid met betrekking tot een dergelijk incident door SumUp. In het geval van een inbreuk in verband met persoonsgegevens, bent u verplicht om de maatregelen te nemen die onder de toepasselijke wetgeving zijn vereist in verband met de gegevens van uw klanten.

6. Subverwerkers. Hierbij verleent u SumUp algemene toestemming, zonder voorafgaande schriftelijke, specifieke toestemming, om subverwerkers in te schakelen om de diensten te leveren. SumUp zal met elke subverwerker een overeenkomst sluiten om ervoor te zorgen dat deze subverwerker de voorwaarden naleeft die ten minste hetzelfde niveau van bescherming en beveiliging garanderen als die in deze DPA zijn uiteengezet. Als u bezwaar maakt tegen een subverwerker en uw bezwaar redelijk is en verband houdt met gegevensbescherming, zullen we ons commercieel redelijke inspanningen getroosten om u een middel ter beschikking te stellen om de verwerking van de gegevens van uw klanten door de subverwerker waartegen bezwaar is gemaakt te voorkomen. Als we dergelijke voorgestelde wijzigingen niet binnen een redelijke termijn beschikbaar kunnen stellen, zullen we u hiervan op de hoogte stellen. Als u dan nog steeds bezwaar maakt tegen ons gebruik van een dergelijke subverwerker, kunt u uw account annuleren of beëindigen of, indien mogelijk, de delen van de diensten opzeggen waarbij gebruik wordt gemaakt van een dergelijke subverwerker.

7. Overdracht van persoonsgegevens. De verwerking van de gegevens van uw klanten vindt plaats op het grondgebied van de Europese Economische Ruimte ('EER'). Elke overdracht naar en verwerking in een extern land buiten de EU/EER dat volgens de Europese Commissie geen passend beschermingsniveau biedt, zal worden uitgevoerd in overeenstemming met de modelcontractbepalingen of een ander passend mechanisme dat een passend niveau van beveiliging van persoonsgegevens garandeert volgens de vereisten van hoofdstuk V van de AVG.

8. Audits. U hebt het recht om eenmaal per jaar een beoordeling van de verplichtingen van SumUp onder deze DPA te starten. Indien SumUp daartoe op grond van de toepasselijke wetgeving is verplicht, kunnen audits eenmaal per jaar worden herhaald. Beide partijen beslissen samen of een externe partij de audit moet uitvoeren. U kunt ons echter toestaan om de beveiligingsbeoordeling te laten uitvoeren door een neutrale externe partij naar onze keuze, als het een verwerkingsomgeving betreft waarin meerdere gegevensbeheerders gegevens worden verwerkt. Als de voorgestelde reikwijdte van de audit voortkomt uit een ISO-certificering of vergelijkbaar certificeringsrapport dat in de afgelopen twaalf maanden door een gekwalificeerde externe auditor is uitgevoerd, en SumUp bevestigt dat er geen materiële wijzigingen zijn in de beoordeelde maatregelen, zal dit voldoen aan alle ontvangen verzoeken binnen een dergelijk tijdsbestek. Audits mogen de zakelijke activiteiten van SumUp niet op onredelijke wijze verstoren. U bent verantwoordelijk voor alle kosten in verband met uw verzoek om audits.

9. Aansprakelijkheid. De aansprakelijkheid van elke partij onder deze verwerkersovereenkomst is onderworpen aan de uitsluitingen en aansprakelijkheidsbeperkingen zoals uiteengezet in de aanvullende voorwaarden en/of voorwaarden. U stemt ermee in dat eventuele wettelijke boetes of claims door betrokkenen of anderen, die door SumUp worden opgelopen met betrekking tot de gegevens van uw klanten die ontstaan als gevolg van, of in verband met, uw niet-naleving van uw verplichtingen onder deze DPA of de toepasselijke wet op gegevensbescherming de maximale totale aansprakelijkheid van SumUp jegens u onder de aanvullende voorwaarden en/of de voorwaarden zal verminderen met hetzelfde bedrag als de boete en/of aansprakelijkheid die wij als gevolg daarvan oplopen.

10. Beëindiging. Deze verwerkersovereenkomst is van kracht zolang u (een van) de diensten van SumUp gebruikt. Als SumUp volgens de voorwaarden van deze verwerkersovereenkomst of een van de voorwaarden van SumUp echter verplicht is om na beëindiging van de diensten persoonsgegevens van uw klanten te bewaren, blijft deze verwerkersovereenkomst van kracht zolang SumUp verplicht is om dergelijke persoonsgegevens te bewaren. Bij beëindiging van het gebruik van de diensten, zal SumUp, tenzij we onder de aanvullende voorwaarden en/of voorwaarden van SumUp, enige overeenkomst of toepasselijke wetgeving verplicht zijn om de gegevens van uw klanten te bewaren, zo snel als redelijkerwijs mogelijk is en volgens de voorwaarden van SumUp en de toepasselijke wetten de gegevens van uw klanten verwijderen, inclusief op schriftelijk verzoek van u.

11. Overige bepalingen

11.1. In geval van een tegenstrijdigheid tussen deze verwerkersovereenkomst en een van de aanvullende voorwaarden en/of voorwaarden van SumUp, hebben de bepalingen van deze verwerkersovereenkomst voorrang.

11.2. U bent verantwoordelijk voor alle kosten en uitgaven die voortvloeien uit de naleving door SumUp van uw instructies of verzoeken op grond van de aanvullende voorwaarden (inclusief deze verwerkersovereenkomst) die buiten de standaardfunctionaliteit vallen die SumUp in het algemeen via de diensten ter beschikking stelt.

11.3. SumUp zal het recht hebben om de voorwaarden van deze verwerkersovereenkomst van tijd tot tijd te wijzigen en/of aan te passen. Wijzigingen in de overeenkomst kunnen door SumUp worden opgenomen in een aparte bijlage of op een andere zichtbare manier en zullen op passende wijze worden gecommuniceerd.

11.4. Alle vragen met betrekking tot deze verwerkersovereenkomst of andere verzoeken met betrekking tot de verwerking van persoonsgegevens moeten aan ons worden gericht via [email protected] SumUp zal proberen klachten met betrekking tot het gebruik van de gegevens van uw klanten op te lossen in overeenstemming met deze verwerkersovereenkomst, de voorwaarden en het interne beleid van SumUp.

11.5. Als een van de bepalingen van de verwerkersovereenkomst ongeldig wordt geacht, heeft dit geen invloed op de overige bepalingen. Partijen zullen ongeldige bepalingen vervangen door een wettelijke bepaling die het doel van de ongeldige bepaling weerspiegelt.

11.6. Deze overeenkomst zal worden beheerst door en geïnterpreteerd in overeenstemming met het Ierse recht. Alle geschillen die voortvloeien uit of verband houden met de overeenkomst worden ter eindbeoordeling voorgelegd aan en behandeld door de rechtbanken van Ierland, behalve als dit op grond van Europese wetgeving is verboden.