Umowa o przetwarzaniu danych

Data wejścia w życie: 15.08.2022 r.

Ostatnia aktualizacja 15.08.2022 r.

Niniejsza Umowa powierzenia przetwarzania danych osobowych (zwana dalej „Umową powierzenia”) podlega, zarazem stanowiąc ich część, postanowieniom Warunków SumUp dotyczących handlu elektronicznego („Umowa”, „Warunki dodatkowe”), Polityce prywatności oraz wszelkim innym obowiązującym warunkom i zasadom SumUp (w niniejszym dokumencie określanym jako „Warunki”, „Polityka prywatności”) zawartym i uzgodnionym pomiędzy Tobą jako użytkownikiem SumUp („Ty”, „Administrator danych”) a SumUp Limited, spółką z siedzibą pod adresem Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irlandia D02 K580 („SumUp”, „My”, „Podmiot przetwarzający dane”), należącą do Grupy SumUp S.A.R.L. — Grupy SumUp.

Strony zobowiązują się, że warunki niniejszej Umowy powierzenia będą przestrzegane przez podmioty powiązane, które mogą uczestniczyć w operacjach przetwarzania danych osobowych w celach określonych w Warunkach dodatkowych. W szczególności SumUp zapewnia, że wszystkie podmioty podprzetwarzające przetwarzają dane osobowe Twoich klientów w zakresie określonym przez treść niniejszej Umowy powierzenia.

W celu świadczenia Usług zgodnie z Warunkami dodatkowymi SumUp przetwarza dane osobowe klientów lub osób odwiedzających Twoją witrynę lub korzystających z usług („Twoi klienci”, „Klienci”). Przetwarzanie takich danych przez SumUp jest w dalszej części zwane „przetwarzaniem” (zgodnie z definicją tego terminu zawartą w RODO). Poniższa Umowa powierzenia przetwarzania danych określa warunki takiego przetwarzania przez SumUp.

1. Definicje

1.1. „Obowiązujące prawodawstwo w zakresie ochrony danych” oznacza rozporządzenie (UE) 2016/679 („Ogólne rozporządzenie o ochronie danych”, „RODO”, „Rozporządzenie”), a także wszelkie pozostałe obowiązujące przepisy regulujące przetwarzanie danych osobowych, w tym, w stosownych przypadkach, Dyrektywę o prywatności i łączności elektronicznej 2002/58/WE.

1.2. Terminy „administrator danych”, „osoba, której dane dotyczą”, „dane osobowe”, „przetwarzać”, „przetwarzanie” i „podmiot przetwarzający dane” należy interpretować zgodnie z ich definicjami zawartymi w RODO.

1.3. „Treść” oznacza Twoją Treść i wszelkie treści przekazywane SumUp przez Twoich klientów, w tym, między innymi, tekst, zdjęcia, obrazy, audio, wideo, kod, informacje z plików cookie bądź podobnych technologii do śledzenia oraz wszelkie inne materiały.

1.4. „Dane Twoich klientów” oznaczają dane osobowe w Treściach Twoich klientów przetwarzane przez SumUp, w Twoim imieniu, w ramach świadczonych Usług. Dane Twoich klientów nie obejmują danych osobowych, jeżeli administratorem takich danych jest SumUp.

Wszystkie terminy, które są stosowane w bieżącej Umowie powierzenia, ale nie mają jednoznacznej definicji w niniejszej sekcji, mają takie samo znaczenie, jak nadano im w Warunkach dodatkowych. Jeśli nie ma jednoznacznej definicji terminów w Warunkach dodatkowych lub Warunkach, ich znaczenie będzie takie, jakie podano w RODO lub w innych obowiązujących przepisach, jeśli nie zostały one zdefiniowane w Rozporządzeniu.

2. Stosowalność. Niniejsza Umowa powierzenia dotyczy wyłącznie Danych Twoich klientów i wyłącznie wówczas, gdy ma zastosowanie RODO. Zgadzasz się, że SumUp nie ponosi odpowiedzialności za dane osobowe, które na skutek Twojej decyzji są przetwarzane za pośrednictwem usług osób trzecich lub poza zakresem Usług, między innymi za pośrednictwem systemów usług chmurowych osób trzecich, przechowywania w trybie offline lub na miejscu.

3. Szczegółowe postanowienia dotyczące przetwarzania danych

3.1. Przedmiot. Przedmiotem przetwarzania danych w ramach niniejszej Umowy powierzenia są Dane Twoich klientów.

3.2. Czas trwania. Tak jak zostało uzgodnione pomiędzy stronami, okres przetwarzania danych w ramach niniejszej Umowy powierzenia jest określany przez Ciebie i trwa tak długo, jak decydujesz się korzystać z naszych Usług.

3.3. Cel. Celem przetwarzania danych w ramach niniejszej Umowy powierzenia jest świadczenie i doskonalenie Usług zainicjowanych przez Ciebie. 

3.4. Charakter przetwarzania danych. Świadczenie Usług, jak opisano w Warunkach dodatkowych, okresowo inicjowanych przez Ciebie.

3.5. Rodzaj danych osobowych. Dane Twoich klientów powiązane z Tobą, Twoimi klientami lub innymi osobami, których dane osobowe są zawarte w Treści i przetwarzane w ramach świadczenia Usług zgodnie z udzielonymi instrukcjami. Dane te obejmują między innymi imiona i nazwiska Twoich klientów, adres e-mail, numer telefonu komórkowego/stacjonarnego, adres fizyczny, dane bankowe, historię transakcji bądź adres IP. Szczególne kategorie danych osobowych, w tym dane dotyczące wyroków skazujących i przestępstw, nie są uznawane za dane podlegające przetwarzaniu w ramach Usług. Są one wyłączone z warunków niniejszej Umowy powierzenia. Jeśli takie dane są przetwarzane w ramach korzystania z naszych Usług, odbywa się to bez wiedzy SumUp. W takim przypadku, po zidentyfikowaniu takiej czynności przetwarzania danych, należy niezwłocznie usunąć takie informacje.

3.6. Kategorie osób, których dane dotyczą. Ty, Twoi Klienci, potencjalni klienci Twoich klientów oraz wszelkie inne osoby, których dane osobowe są zawarte w Treści.

4. Prawa i obowiązki

4.1. W zakresie, w jakim Dane Twoich klientów są przetwarzane przez SumUp w Twoim imieniu, a przetwarzanie to podlega Ogólnemu rozporządzeniu o ochronie danych (Rozporządzenie (UE) 2016/679; „RODO”), potwierdzasz i akceptujesz to, że w celach świadczenia Usług SumUp działasz w charakterze Administratora takich danych osobowych, a korzystanie przez Ciebie z usług SumUp oznacza polecenie SumUp przetwarzania Danych Twoich klientów w Twoim imieniu, na mocy niniejszej Umowy powierzenia.

4.2. Akceptację niniejszej Umowy powierzenia możesz wycofać na dowolnym etapie. Oznacza to jednak, że SumUp zaprzestanie świadczenia Ci Usługi.

4.3. SumUp jako podmiot przetwarzający dane osobowe:

A. przetwarza Dane Twoich klientów wyłącznie do celów określonych w niniejszej Umowie powierzenia i zgodnie z obowiązującym prawem oraz Umową powierzenia;

B. może działać i przetwarzać Dane Twoich klientów wyłącznie na Twoje udokumentowane polecenie, chyba że przepisy prawa, orzeczenie sądowe lub środki legislacyjne wymagają od SumUp podjęcia działania bez takiego polecenia. Z chwilą zawarcia niniejszej Umowy powierzenia, na Twoje polecenie SumUp może przetwarzać Dane Twoich klientów wyłącznie do celów świadczenia Usług, jak opisano to w Umowie powierzenia oraz Warunkach dodatkowych. Z zastrzeżeniem postanowień niniejszej Umowy powierzenia i za obopólną zgodą obu stron możesz wydawać dodatkowe pisemne instrukcje zgodne z warunkami niniejszej Umowy powierzenia;

C. gwarantuje, że osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub są do niego prawnie zobowiązane;

D. gwarantuje, że dostęp do danych osobowych jest przyznawany wyłącznie osobom, które go potrzebują do wykonywania obowiązków służbowych w kontekście Usług na mocy Warunków dodatkowych;

E. ponosi odpowiedzialność za zapewnienie, że pracownicy/podwykonawcy i/lub inni przedstawiciele przetwarzający Dane Twoich klientów przetwarzają dane osobowe wyłącznie na Twoje polecenie;

F. niezwłocznie powiadomi Cię, jeżeli uzna, że niektóre z Twoich poleceń są sprzeczne z obowiązującymi przepisami o ochronie danych;

G. jest zobowiązany na mocy niniejszej Umowy do ochrony Danych Twoich klientów przed zniszczeniem, zmianą, utratą i inną nieuprawnioną formą przetwarzania. W tym celu SumUp podejmuje wszelkie stosowne środki bezpieczeństwa zgodnie z obowiązującym prawem. Środki techniczne i organizacyjne stosowane przez SumUp zależą od stanu wiedzy technicznej. Możliwe jest, że SumUp wdroży alternatywne odpowiednie środki. Przy wprowadzaniu takich rozwiązań alternatywnych nie jest możliwe zmniejszenie poziomu określonych środków bezpieczeństwa. SumUp udzieli Ci pomocy w zakresie odpowiednich środków technicznych i organizacyjnych zgodnie z wymogami, a także, uwzględniając charakter przetwarzania i kategorię informacji dostępnych dla SumUp, umożliwi przestrzeganie zobowiązań wynikających z obowiązującego prawodawstwa w zakresie ochrony danych.

H. na uzasadnione żądanie udostępnia certyfikaty potwierdzające, że SumUp przestrzega swoich zobowiązań wynikających z niniejszej Umowy powierzenia i obowiązującego prawodawstwa w zakresie ochrony danych, i/lub udostępnia informacje niezbędne do wykazania zgodności z obowiązkami wynikającymi z niniejszej Umowy powierzenia oraz obowiązującego prawodawstwa dotyczącego ochrony danych. Informacje, które zostaną udostępnione przez SumUp, ograniczają się wyłącznie do niezbędnych informacji, przy uwzględnieniu charakteru Usług i informacji dostępnych dla SumUp, aby zapewnić wsparcie w wypełnianiu Twoich obowiązków, szczególnie w odniesieniu do art. 32 i 36 RODO (obowiązki w zakresie oceny skutków dla ochrony danych, uprzednich konsultacji i zapewnienia bezpieczeństwa danych osobowych);

I. zapewnia pomoc, w stosownych ramach czasowych, za pomocą odpowiednich środków oraz, w uzasadnionych przypadkach (biorąc pod uwagę charakter przetwarzania), w przestrzeganiu praw osób, których dane dotyczą, oraz wszelkich dalszych zobowiązań wynikających z przepisów o ochronie danych, w tym RODO;

J. powiadamia Cię, jeżeli jest to dozwolone przez obowiązujące przepisy, o otrzymaniu zapytania lub zażalenia od osoby, której dane osobowe są zawarte w Twojej Treści, lub ważnego żądania ze strony władz, organów ścigania, regulacyjnych bądź innych w odniesieniu do Danych Twoich klientów, które przetwarzamy w Twoim imieniu i na Twoje polecenie.

4.4. Jako administrator danych osobowych:

A. gromadzisz, wykorzystujesz i przetwarzasz dane osobowe w Treściach zgodnie z wszelkimi obowiązującymi przepisami o ochronie danych;

B. ponosisz wyłączną odpowiedzialność za dokładność, jakość i zgodność z prawem czynności przetwarzania Danych Twoich klientów oraz środki, za pomocą których dane te są uzyskiwane;

C. zapewnisz odpowiedni poziom bezpieczeństwa podczas korzystania z Usług, uwzględniając wszelkie ryzyko związane z Danymi Twoich klientów;

D. potwierdzasz, że wszelkie czynności mające na celu przechowywanie i/lub przekazywanie Danych Twoich klientów do podmiotów zewnętrznych lub na platformy inne niż SumUp odbywają się na Twoje wyłączne ryzyko i odpowiedzialność;

E. zapewniasz, że przetwarzanie danych osobowych na Twoje polecenie odbywa się zgodnie ze wszystkimi przepisami ustawowymi i wykonawczymi oraz zasadami mającymi zastosowanie do Danych Twoich klientów. Zapewniasz również, że czynności przetwarzania Danych Twoich klientów na Twoje polecenie nie powodują ani nie prowadzą do naruszenia żadnych przepisów ustawowych i wykonawczych czy rozporządzeń (w tym RODO) przez którąkolwiek ze stron.

5. Zawiadomienia o naruszeniu. Strona powiadomi niezwłocznie (lecz nie później niż w ciągu 48 godzin) drugą stronę o uzyskaniu informacji o naruszeniu bezpieczeństwa danych osobowych w odniesieniu do danych osobowych przetwarzanych na mocy niniejszej Umowy powierzenia. SumUp pomoże w wypełnieniu obowiązków w zakresie powiadamiania zgodnie z art. 33 i 34 RODO, przekazując informacje o naruszeniu, które można w zasadny sposób ujawnić, uwzględniając charakter Usług, informacje nam dostępne oraz wszelkie ograniczenia dotyczące ujawniania informacji takie jak wymóg zachowania poufności. Pomimo powyższego, zobowiązania SumUp wynikające z niniejszej sekcji nie mają zastosowania do incydentów spowodowanych przez Ciebie, jakichkolwiek działań na Twoim koncie i/lub usług osób trzecich. SumUp jest zobowiązany do współpracy i wsparcia w zakresie dochodzenia, minimalizacji negatywnych skutków i naprawienia naruszenia danych osobowych, a także zapobiegania podobnym przypadkom naruszenia danych w przyszłości. Powiadomienie przez SumUp o naruszeniu bezpieczeństwa danych osobowych nie zostanie uznane za przyznanie się SumUp do jakiejkolwiek winy ani wzięcie odpowiedzialności za taki incydent. W razie naruszenia bezpieczeństwa danych osobowych Twoim obowiązkiem jest podjęcie środków wymaganych przez obowiązujące przepisy w odniesieniu do Danych Twoich klientów.

6. Podmioty podprzetwarzające. Niniejszym przyznajesz SumUp ogólne upoważnienie do angażowania podmiotów podprzetwarzających w celu świadczenia Usług bez potrzeby uzyskania dalszych pisemnych, konkretnych pozwoleń. SumUp podpisze umowę z każdym podmiotem podprzetwarzającym w celu zapewnienia zgodności działań takiego podmiotu podprzetwarzającego z obowiązującymi warunkami zapewniającymi co najmniej taki sam poziom ochrony i bezpieczeństwa, jak ten określony w niniejszej Umowie powierzenia. Jeżeli wysuniesz zastrzeżenia wobec jakiegokolwiek podmiotu podprzetwarzającego, a zastrzeżenie to będzie uzasadnione i związane z obawami o bezpieczeństwo danych, podejmiemy uzasadnione ekonomicznie działania w celu umożliwienia Ci uniknięcia przetwarzania Danych Twoich klientów przez podmiot podprzetwarzający, którego dotyczy zastrzeżenie. Jeżeli nie uda nam się dokonać takich proponowanych zmian w uzasadnionym okresie, powiadomimy Cię o tym, a jeżeli nadal będziesz mieć zastrzeżenia wobec takiego podmiotu podprzetwarzającego, możesz anulować lub zamknąć swoje konto bądź, w miarę możliwości, części Usług, które wiążą się z korzystaniem z takiego podmiotu podprzetwarzającego.

7. Przekazywanie danych osobowych. Przetwarzanie Danych Twoich klientów odbywa się na terytorium Europejskiego Obszaru Gospodarczego („EOG”). Wszelkie przekazywanie danych do kraju spoza UE/EOG, który nie zapewnia odpowiedniego poziomu ochrony według Komisji Europejskiej, i przetwarzanie ich tam będzie się odbywać zgodnie ze Standardowymi klauzulami umownymi lub innym stosownym mechanizmem gwarantującym odpowiedni poziom ochrony danych osobowych zgodnie z wymaganiami Rozdziału V RODO.

8. Audyty. Przysługuje Ci prawo do zainicjowania raz do roku przeglądu zobowiązań SumUp wynikających z niniejszej Umowy Powierzenia. Jeżeli SumUp jest do tego zobowiązany na mocy obowiązujących przepisów, audyty mogą być powtarzane raz do roku. Strony wspólnie decydują, czy audyt powinna przeprowadzić osoba trzecia. Możesz jednak zezwolić nam na przeprowadzenie kontroli bezpieczeństwa przez neutralną, wybraną przez nas osobę trzecią, jeśli jest to środowisko, w którym przetwarzane są dane różnych administratorów danych. Jeśli proponowany zakres audytu będzie zgodny z raportem certyfikacyjnym ISO lub podobnym przeglądem przeprowadzonym przez wykwalifikowanego audytora zewnętrznego w ciągu ostatnich dwunastu miesięcy, a SumUp potwierdzi, że nie nastąpiły żadne istotne zmiany w ocenianych środkach, zaspokoi to wszelkie żądania otrzymane w tych ramach czasowych. Audyty nie mogą w nieuzasadniony sposób zakłócać normalnej działalności SumUp. Ponosisz odpowiedzialność za wszystkie koszty związane ze złożeniem wniosku o czynności audytowe.

9. Odpowiedzialność. Odpowiedzialność każdej strony na mocy niniejszej Umowy powierzenia podlega wyłączeniom i ograniczeniom odpowiedzialności określonym w Warunkach dodatkowych i/lub Warunkach. Zgadzasz się z tym, że wszelkie kary przewidziane przepisami lub roszczenia osób, których dane dotyczą, bądź innych osób nałożone lub skierowane przeciwko SumUp w odniesieniu do Danych Twoich klientów wskutek nieprzestrzegania przez Ciebie obowiązków na mocy niniejszej Umowy powierzenia bądź obowiązującego Przepisu o ochronie danych lub w związku z takim nieprzestrzeganiem zmniejszą łączną odpowiedzialność SumUp względem Ciebie na mocy Warunków dodatkowych i/lub Warunków w kwocie równej poniesionej przez nas karze finansowej lub odpowiedzialności.

10. Wypowiedzenie. Niniejsza Umowa powierzenia obowiązuje przez okres korzystania z jakiejkolwiek Usługi SumUp. Jeśli jednak SumUp jest zobowiązany, zgodnie z warunkami niniejszej Umowy powierzenia lub któregokolwiek z Warunków SumUp, do przechowywania danych osobowych Twoich klientów po wypowiedzeniu umowy świadczenia Usług, niniejsza Umowa powierzenia będzie obowiązywać tak długo, jak długo SumUp jest zobowiązany przechowywać takie dane osobowe. Po wypowiedzeniu umowy świadczenia Usług i o ile SumUp nie jest zobowiązany do przechowywania danych Twoich klientów zgodnie z Warunkami dodatkowymi i/lub Warunkami SumUp, jakąkolwiek umową lub obowiązującym prawem, SumUp usunie, w tym na Twój pisemny wniosek, Dane Twoich Klientów w możliwie najkrótszym terminie i zgodnie z Warunkami SumUp oraz obowiązującymi przepisami prawa.

11. Postanowienia różne.

11.1. W przypadku sprzeczności pomiędzy niniejszą Umową powierzenia a jakimikolwiek Warunkami dodatkowymi i/lub Warunkami SumUp, postanowienia tej Umowy powierzenia będą nadrzędne.

11.2. Ponosisz odpowiedzialność za wszelkie koszty i wydatki wynikające ze stosowania się SumUp do Twoich poleceń lub żądań na mocy Warunków dodatkowych (w tym niniejszej Umowy powierzenia), które wykraczają poza standardowe funkcje zazwyczaj udostępniane przez SumUp w ramach świadczenia Usług.

11.3. SumUp ma prawo do okresowej zmiany i/lub dostosowania dowolnych warunków niniejszej Umowy powierzenia stosownie do potrzeb. Zmiany Umowy mogą być dokonywane przez SumUp w odrębnym Załączniku lub w inny widoczny sposób oraz za stosownym powiadomieniem.

11.4. Wszelkie pytania dotyczące niniejszej Umowy powierzenia lub jakiekolwiek inne wnioski związane z przetwarzaniem danych osobowych należy kierować na adres [email protected] SumUp podejmie starania w celu zaspokojenia wszelkich skarg dotyczących wykorzystania danych osobowych Twoich klientów zgodnie z niniejszą Umową powierzenia przetwarzania danych, Warunkami i wewnętrznymi przepisami SumUp.

11.5. Jeżeli którekolwiek z postanowień Umowy zostanie uznane za nieważne, nie wpłynie to na pozostałe postanowienia. Strony zastąpią nieważne postanowienia postanowieniem zgodnym z prawem, które odzwierciedla cel nieważnego postanowienia.

11.6 Niniejsza Umowa podlega prawu irlandzkiemu i jest zgodnie z nim interpretowana. Wszelkie spory wynikające z Umowy lub z nią związane zostaną ostatecznie rozpatrzone i rozstrzygnięte przez sądy Irlandii, z wyjątkiem przypadków, gdy jest to zabronione przez prawo UE.