Umowa o przetwarzaniu danych

Data wejścia w życie: kwiecień 2020 r.

Ostatnia aktualizacja 09.03.2022

Pomiędzy:

Użytkownicy/subskrybenci Usług fakturowania i księgowania SumUp (dalej „Klient” lub „Administrator danych”) oraz

SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irlandia D02 K580, numer identyfikacji podatkowej: IE9813461A (dalej „SumUp” lub „Podmiot przetwarzający dane”) 

każda ze stron zwana dalej „stroną”, a łącznie „stronami” 

ZGADZAJĄ SIĘ na warunki niniejszej Umowy powierzenia przetwarzania danych (zwanej dalej „Umową”) w zakresie ochrony danych osobowych w odniesieniu do przetwarzania Danych osobowych, gdy Klient występuje jako Administrator danych, a SumUp występuje jako Podmiot przetwarzający dane, w celu wywiązywania się ze zobowiązań z tytułu świadczenia usług określonych w Warunkach fakturowania i księgowania SumUp w Umowie o świadczenie usług (wyszczególnionych poniżej). W ramach wywiązywania się ze zobowiązań z tytułu świadczenia usług SumUp będzie przetwarzać niektóre Dane osobowe w imieniu Administratora danych zgodnie z warunkami niniejszej Umowy. Każda ze stron zgadza się i zapewnia, że warunki niniejszej umowy będą również w pełni stosowane do jej Podmiotów stowarzyszonych, które mogą być zaangażowane w operacje przetwarzania Danych osobowych w ramach projektu określonego w Warunkach fakturowania i księgowania SumUp, w Umowie o świadczenie usług. SumUp zapewni, że podczas przetwarzania Danych osobowych Klienta wszystkie podmioty podprzetwarzające dane będą działać na takich samych warunkach, jakie określono w niniejszej Umowie.

Wprowadzenie i definicje

Dane osobowe definiuje się jako wszelkie informacje odnoszące się do osoby, na podstawie których można ją bezpośrednio lub pośrednio zidentyfikować, w szczególności przez odniesienie do takiego identyfikatora jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji czy identyfikator internetowy lub jednego bądź większej liczby czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości danej osoby fizycznej lub prawnej (w stosownych przypadkach).

Wszystkie inne definicje, o których mowa w niniejszym dokumencie, w tym terminy „Administrator danych” oraz „Podmiot przetwarzający dane”, są zawarte w odpowiednich przepisach o ochronie danych, w tym ogólnym rozporządzeniu UE o ochronie danych 2016/679 z dnia 27 kwietnia 2016 r. (zwanym dalej „RODO”).

W ramach Usługi Aplikacji oferowanej przez Podmiot przetwarzający dane (Fakturowania i księgowania SumUp) nie przetwarza się danych osobowych wrażliwych, w związku z czym są one wyłączone z warunków niniejszej Umowy.

Rejestrując się w celu korzystania z programu Fakturowanie i księgowanie SumUp oraz akceptując Warunki, w tym Politykę prywatności i niniejszą Umowę, strony zgadzają się w świetle wszystkich krajowych przepisów o ochronie danych oraz zgodnie z RODO z tym, że niniejsza Umowa reguluje relacje między Administratorem danych a Podmiotem przetwarzającym dane, określające sposób przetwarzania przez SumUp Danych osobowych Klienta. Postanowienia niniejszej Umowy są nadrzędne, chyba że zostaną zastąpione inną podpisaną umową powierzenia przetwarzania danych, która otrzyma pierwszeństwo przed postanowieniami niniejszej Umowy.

SumUp przetwarza dane osobowe na rzecz Klienta w celu zapewnienia dostępu do pełnego zakresu Usługi i wypełnienia postanowień niniejszej Umowy. SumUp zobowiązuje się do utrzymania wystarczającego poziomu ochrony danych osobowych przez cały czas trwania Umowy.

Obie strony potwierdzają swoje upoważnienie do podpisania niniejszej Umowy.

Obowiązki Podmiotu przetwarzającego dane

Podmiot przetwarzający dane jest zobowiązany przetwarzać wszystkie dane osobowe w imieniu Administratora danych i postępować zgodnie z jego zaleceniami. Zawierając niniejszą Umowę, SumUp (i każdy Podmiot podprzetwarzający dane, z którym Podmiot przetwarzający dane zawiera umowę prawną na usługi) jest zobowiązany, aby przetwarzać Dane osobowe Klienta:

  1. Zgodnie ze wszystkimi przepisami krajowymi i europejskimi

  2. W celu wypełnienia swoich zobowiązań wynikających z Warunków fakturowania i księgowania SumUp

  3. Zgodnie z dalszymi zaleceniami Administratora danych

  4. Zgodnie z opisem w niniejszej Umowie

W ramach świadczenia usługi Aplikacji Podmiot przetwarzający dane ma obowiązek zawsze zapewniać Klientowi odpowiednie rozwiązania umożliwiające dalszy rozwój jego firmy poprzez korzystanie z usługi. Podmiot przetwarzający dane śledzi sposób korzystania z aplikacji w celu przekazywania jak najlepszych sugestii, ciągłego świadczenia odpowiednich usług oraz dostarczania jak najdokładniejszych informacji, co zapewni możliwość dalszego optymalnego użytkowania narzędzia i satysfakcję Klienta. W zakresie, w jakim przetwarzanie Danych osobowych z Aplikacji stanowi element tych działań, są one przetwarzane wyłącznie zgodnie z niniejszą Umową oraz obowiązującymi przepisami prawa i są udostępniane wyłącznie w celu zapewnienia Klientowi lepszej obsługi.

Biorąc pod uwagę dostępne technologie i koszt wdrożenia, a także zakres, kontekst i cel przetwarzania danych, Podmiot przetwarzający dane jest zobowiązany do podejmowania wszelkich uzasadnionych środków, w tym technicznych i organizacyjnych, zapewniających odpowiedni poziom bezpieczeństwa w odniesieniu do ryzyka i kategorii Danych osobowych, które mają być chronione. Podmiot przetwarzający dane udziela pomocy Administratorowi danych w zakresie podjęcia odpowiednich środków technicznych i organizacyjnych zgodnie z wymogami i z uwzględnieniem rodzaju czynności oraz kategorii informacji dostępnych Podmiotowi przetwarzającemu dane, aby zapewnić przestrzeganie przez Administratora danych obowiązujących przepisów o ochronie danych.

Jeżeli Podmiot przetwarzający dane dowie się o naruszeniu bezpieczeństwa, powiadomi o tym Administratora danych bez zbędnej zwłoki.

Ponadto Podmiot przetwarzający dane, w miarę możliwości i zgodnie z prawem, poinformuje Administratora danych o wniosku o informacje na temat przechowywanych danych („Żądaniu dostępu do danych”) ze strony jakichkolwiek organów, którym Podmiot przetwarzający dane jest zobowiązany udzielić takiego dostępu. Podmiot przetwarzający dane odpowie na taki wniosek, gdy Administrator danych wyrazi na to zgodę. Podmiot przetwarzający dane nie ujawnia również informacji o niniejszej umowie, chyba że wymaga tego prawo, na przykład na mocy postanowienia sądu.

Jeśli Administrator danych wymaga informacji lub pomocy w zakresie bezpieczeństwa danych, dokumentacji lub informacji o tym, w jaki sposób Podmiot przetwarzający dane ogólnie przetwarza dane osobowe, może wystąpić z wnioskiem o udzielenie tych informacji przez Podmiot przetwarzający dane. Podmiot przetwarzający dane będzie w uzasadnionym zakresie pomagać Administratorowi danych w wypełnianiu przez niego obowiązków wynikających z art. 32–36 RODO.

Podmiot przetwarzający dane, jego pracownicy i wszelkie podmioty stowarzyszone są zobowiązani do zachowania poufności w odniesieniu do danych osobowych przetwarzanych w ramach Umowy. To postanowienie obowiązuje po rozwiązaniu Umowy, bez względu na przyczynę jej rozwiązania.

Obowiązki Podmiotu przetwarzającego dane

Podpisując i akceptując niniejszą umowę, Administrator danych potwierdza, że korzystając z Aplikacji, będzie mógł swobodnie przetwarzać swoje dane po spełnieniu wszystkich wymogów prawnych dotyczących ochrony danych, w tym RODO. 

Administrator danych może na dowolnym etapie odwołać akceptację niniejszej Umowy, ale uniemożliwi to Podmiotowi przetwarzającemu dane dalsze świadczenie Usługi.

Klient ma podstawę prawną do przetwarzania Danych osobowych przez Podmiot przetwarzający dane (w tym wszelkie podmioty podprzetwarzające dane) z wykorzystaniem usług SumUp.

Administrator danych ponosi ciągła odpowiedzialność za dokładność, integralność, treść i wiarygodność danych osobowych przetwarzanych przez Podmiot przetwarzający dane. Spełnia on wszystkie obowiązkowe wymagania związane z powiadomieniem lub uzyskaniem pozwolenia od odpowiednich organów publicznych w zakresie przetwarzania danych osobowych. Ponadto wypełnia obowiązki ujawnienia właściwym organom informacji dotyczących przetwarzania danych osobowych zgodnie ze wszystkimi obowiązującymi przepisami dotyczącymi ochrony danych.

Administrator danych musi mieć dokładną listę kategorii przetwarzanych Danych osobowych, w szczególności gdy takie przetwarzanie różni się od kategorii wymienionych przez Podmiot przetwarzający dane w Załączniku A.

Zgoda na transfer danych i korzystanie z usług podwykonawców

W celu świadczenia usługi na rzecz Administratora danych Podmiot przetwarzający dane może korzystać z usługi Podmiotu podprzetwarzającego dane (lub „Podwykonawców”). Podwykonawcy ci mogą być zewnętrznymi dostawcami usług zarówno w UE i EOG, jak i poza nimi. Podmiot przetwarzający dane zapewnia, że wszyscy podwykonawcy spełniają zobowiązania i wymogi wynikające z niniejszej umowy, a w szczególności, że ich poziom ochrony danych spełnia standardy wymagane na mocy stosownych przepisów o ochronie danych. Jeżeli dany obszar prawny znajduje się poza UE/EOG i nie jest uwzględniony na liście zatwierdzonych przez Komisję Europejską zadowalających poziomów ochrony danych w świetle RODO, wówczas pomiędzy SumUp a takim podwykonawcą zostanie zawarta specjalna umowa, aby zapewnić, że będzie on przechowywać wszystkie Dane osobowe zgodnie z wymogami obowiązujących przepisów UE o ochronie danych.

Niniejsza Umowa stanowi uprzednio wyrażoną, konkretną i wyraźną zgodę Administratora danych na korzystanie przez Podmiot przetwarzający dane z usług Podwykonawców przetwarzających dane, którzy mogą mieć siedzibę poza obszarem UE/EOG lub terytoriami zatwierdzonymi przez Komisję Europejską.

Administrator danych może wycofać zgodę w każdej chwili, ale w ten sposób wypowiada obowiązującą Umowę, a Podmiot przetwarzający dane nie będzie już mógł świadczyć Usługi.

Jeżeli Podwykonawca ma siedzibę lub przechowuje Dane osobowe poza terytoriami zatwierdzonymi przez UE/EOG lub Komisję Europejską, Podmiot przetwarzający dane ma obowiązek zapewnić zadowalającą podstawę do przekazywania Danych osobowych do państwa trzeciego w imieniu Administratora danych, w tym stosowanie standardowych umów Komisji Europejskiej lub szczególnych środków, które zostały wstępnie zatwierdzone przez Komisję Europejską.

Administrator danych musi zostać poinformowany, zanim Podmiot przetwarzający dane zacznie korzystać z usług innych Podwykonawców. Administrator danych może następnie nie zaakceptować nowego Podmiotu podprzetwarzającego dane, który przetwarza jego Dane osobowe w imieniu Podmiotu przetwarzającego dane, ale tylko wtedy, gdy Podmiot podprzetwarzający dane nie przetwarza danych zgodnie z odpowiednimi przepisami o ochronie danych. Podmiot przetwarzający dane może wykazać zgodność postępowania z przepisami, zapewniając Administratorowi danych dostęp do oceny ochrony danych przeprowadzonej przez Podmiot przetwarzający dane.

Jeśli Administrator danych nadal sprzeciwia się korzystaniu z usług podwykonawcy, może zrezygnować z subskrypcji usługi bez wymaganego zwykłego okresu wypowiedzenia, następnie upewniając się, że jego dane osobowe nie będą przetwarzane przez niepreferowanego podwykonawcę.

Okres obowiązywania umowy

Umowa pozostaje ważna tak długo, jak Podmiot przetwarzający dane będzie przetwarzać Dane osobowe w związku z korzystaniem przez Administratora danych z Aplikacji Usługi, chyba że zostanie ona zastąpiona inną podpisaną umową powierzenia przetwarzania danych, która będzie mieć pierwszeństwo przed niniejszą umową.

Wypowiedzenie Umowy

Jeśli Administrator danych zdecyduje się zaprzestać korzystania z usługi, bez względu na to, czy usługa jest objęta subskrypcją, Administrator danych ma również prawo usunąć wszystkie dane z konta. Po przeprowadzeniu procedury usuwania danych zainicjowanej przez Administratora danych Podmiot przetwarzający dane usuwa wszystkie Dane osobowe z wyjątkiem tych, które należy przechowywać zgodnie z obowiązującymi wymogami prawnymi — w takim przypadku będą one przechowywane z wykorzystaniem technicznych i organizacyjnych zabezpieczeń w SumUp.

Administrator danych ma pełną możliwość odzyskania wszystkich danych osobowych w ramach usługi aplikacji. Jeżeli Administrator danych zwróci się o pomoc w odzyskaniu danych, powiązane koszty zostaną ustalone w drodze porozumienia między Stronami i będą wyliczone na podstawie złożoności żądanego procesu i czasu realizacji wniosku w wybranym formacie.

Zmiany w umowie

Zmiany Umowy mogą być dokonywane przez Podmiot przetwarzający dane w odrębnym Załączniku do Umowy lub w inny widoczny dla Administratora danych sposób oraz za powiadomieniem Administratora danych. Jeżeli którekolwiek z postanowień Umowy zostanie uznane za nieważne, nie wpłynie to na pozostałe postanowienia. Strony zastąpią nieważne postanowienia postanowieniem zgodnym z prawem, które odzwierciedla cel nieważnego postanowienia.

Audyty

Administrator danych ma prawo raz w roku zainicjować przegląd wynikających z Umowy zobowiązań Podmiotu przetwarzającego dane. Jeżeli Podmiot przetwarzający dane jest do tego zobowiązany na mocy obowiązujących przepisów, audyty mogą być powtarzane raz w roku. Strony wspólnie decydują, czy audyt powinien przeprowadzić osoba trzecia. Administrator danych może jednak zezwolić Podmiotowi przetwarzającemu dane na przeprowadzenie kontroli bezpieczeństwa przez neutralną osobę trzecią wybraną przez Podmiot przetwarzający dane, jeśli jest to środowisko, w którym przetwarzane są dane różnych administratorów danych.

Jeśli proponowany zakres audytu będzie zgodny z raportem certyfikacyjnym ISAE, ISO lub podobnym przeglądem przeprowadzonym przez wykwalifikowanego audytora zewnętrznego w ciągu ostatnich dwunastu miesięcy, a Podmiot przetwarzający dane potwierdzi, że nie nastąpiły żadne istotne zmiany w ocenianych środkach, zaspokoi to wszelkie żądania otrzymane w tych ramach czasowych. Audyty nie mogą w nieuzasadniony sposób zakłócać normalnej działalności Podmiotu przetwarzającego dane. Administrator danych jest odpowiedzialny za wszystkie koszty związane ze złożeniem wniosku o czynności audytowe.

Zobowiązania i jurysdykcje

Odpowiedzialność za działania wynikające z naruszenia postanowień niniejszej Umowy regulują postanowienia dotyczące odpowiedzialności i odszkodowań zawarte w Warunkach fakturowania i księgowania SumUp. Dotyczy to również wszelkich naruszeń ochrony danych przez Podmiot podprzetwarzający dane. Niniejsza Umowa podlega prawu irlandzkiemu i jest interpretowana zgodnie z nim, a sądy irlandzkie mają wyłączną jurysdykcję irlandzką w zakresie rozstrzygania wszelkich sporów dotyczących tej umowy.

Załącznik A — Kategorie danych osobowych i typowe kategorie przetwarzanych danych

1. Kategorie danych osobowych (lista nie jest wyczerpująca)

  • Imię i nazwisko

  • Dane adresowe

  • Numer(y) telefonu

  • Adres(y) e-mail

  • Adres(y)

  • Wszelkie numery kont i/lub dane bankowe

2. Typowe kategorie przetwarzanych danych (lista nie jest wyczerpująca)

  • Pracownicy Administratora danych

  • Kontakty Administratora danych (telefon/e-mail/adresy/itp.), klienci Administratora danych, dane bankowe Administratora danych

  • Pracownicy klientów

  • Dane kontaktowe klientów (numery telefonu/adresy e-mail/adresy/itp.) lub klientów ich klientów

  • Dane bankowe klientów ich klientów