Dohoda o spracovaní údajov

Dátum účinnosti: 15. 8. 2022

Posledná aktualizácia: 15. 08. 2022

Táto Dohoda o spracovaní údajov („DPA“) je súčasťou ustanovení Podmienok služby SumUp pre e-commerce („Dohoda“, „Dodatočné podmienky“), Zásad ochrany osobných údajov a všetkých ostatných platných zmluvných podmienok spoločnosti SumUp (ďalej ako „Podmienky“, „Zásady ochrany osobných údajov“) uzatvorených a dohodnutých medzi vami ako obchodníkom SumUp („vy“, „Prevádzkovateľ údajov“) a spoločnosťou SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Írsko D02 K580 („SumUp“, „my“, „Sprostredkovateľ údajov“), ktorá je súčasťou skupiny S.A.R.L. Group Companies – SumUp Group.

Všetky zmluvné strany súhlasia a zabezpečia, aby sa podmienky tejto dohody DPA vzťahovali aj na pridružené spoločnosti, ktoré sa môžu podieľať na spracovaní osobných údajov pre Služby, ktoré sú vymedzené v Dodatočných podmienkach. Spoločnosť SumUp konkrétne zaistí, aby všetci sprostredkovatelia v subdodávateľskom vzťahu pri spracovaní Údajov vašich zákazníkov pôsobili v zmysle rovnakých podmienok ako táto dohoda DPA.

S cieľom poskytnúť vám Služby podľa Dodatočných podmienok spoločnosť SumUp spracúva údaje zákazníkov alebo návštevníkov vašej lokality či služieb („Vaši zákazníci“, „Zákazníci“). Spracovanie týchto údajov spoločnosťou SumUp sa ďalej uvádza ako „spracovanie“ (pretože tento pojem je vymedzený v GDPR). Nasledujúca Dohoda o spracovaní údajov stanovuje podmienky takéhoto spracovania zo strany spoločnosti SumUp.

1. Vymedzenie pojmov.

1.1. Pod pojmom „Príslušné právne predpisy na ochranu údajov“ sa rozumie Nariadenie (EÚ) 2016/679 („Všeobecné nariadenie o ochrane údajov, „GDPR“, „Nariadenie“), ako aj ďalšie platné právne predpisy upravujúce spracovanie osobných údajov vrátane Smernice o súkromí a elektronických komunikáciách 2002/58/ES.

1.2. Pojmy „prevádzkovateľ“, „dotknutá osoba“„osobné údaje“, „spracovať“, „spracovanie“ „sprostredkovateľ“ majú významy, ktoré sú týmto pojmom priradené v GDPR.

1.3. Pod pojmom „Obsah“ sa rozumie váš Obsah a tiež akýkoľvek obsah poskytovaný spoločnosti SumUp vašimi zákazníkmi, okrem iného vrátane textu, fotografií, obrázkov, zvukov, videí, kódu, informácií zo súborov cookie alebo podobných sledovacích technológií a ďalších materiálov.

1.4. Pod pojom „Údaje vašich zákazníkov“ sa rozumejú osobné údaje v rámci Obsahu Vašich zákazníkov, ktoré spracúva SumUp vo vašom mene v rámci poskytovania Služieb. Údaje vašich zákazníkov nezahŕňajú osobné údaje, ktorých prevádzkovateľom je spoločnosť SumUp.

Všetky pojmy, ktoré sa používajú v tejto dohode DPA, ale nemajú v tomto oddiele explicitnú definíciu, budú mať stanovený význam v Dodatočných podmienkach. Ak v Dodatočných podmienkach alebo Podmienkach neexistuje osobitné vymedzenie pojmov, ich význam bude rovnaký ako ten, ktorý je uvedený v GDPR alebo v iných platných predpisoch, ak to nie je stanovené v príslušnom nariadení.

2. Uplatniteľnosť. Táto dohoda DPA platí iba v súvislosti s Údajmi vašich zákazníkov a iba v rozsahu platnosti nariadenia GDPR. Súhlasíte s tým, že SumUp nezodpovedá za osobné údaje, ktoré ste sa rozhodli spracovať prostredníctvom služieb tretích strán alebo mimo Služieb, a to vrátane systémov akýchkoľvek iných cloudových služieb tretích strán, ukladania v režime offline alebo na mieste.

3. Podrobnosti o spracovaní údajov.

3.1. Predmet. Predmetom spracovania údajov v zmysle tejto dohody DPA sú Údaje vašich zákazníkov.

3.2. Doba trvania. Tak, ako je medzi vami a nami, je doba trvania spracovania údajov podľa tejto dohody DPA určená vami a na vami vybrané obdobie, ktoré ste si zvolili na využívanie našich Služieb.

3.3. Účel. Účelom spracovania údajov podľa tejto dohody DPA je poskytovanie a zlepšovanie Služieb, ktoré ste iniciovali. 

3.4. Charakter spracovania. Služby, ktoré sú opísané v Dodatočných podmienkach a ktoré ste z času na čas iniciovali.

3.5. Druh osobných údajov. Údaje vašich zákazníkov súvisiace s vami, vašimi zákazníkmi alebo inými osobami, ktorých osobné údaje sú zahrnuté do Obsahu, ktorý sa spracúva v rámci Služieb v súlade s poskytnutými pokynmi. Tieto údaje zahŕňajú okrem iného mená, e-mailovú adresu, mobilné/telefónne číslo, fyzickú adresu, bankové údaje, históriu transakcií a  IP adresy vašich zákazníkov. Osobitné kategórie osobných údajov vrátane údajov týkajúcich sa odsúdení za trestné činy a priestupkov, sa nepovažujú za také, ktoré sú spracované v rámci Služieb a sú vylúčené z podmienok tejto dohody DPA. Ak sa takéto údaje spracúvajú počas používania našich Služieb, spoločnosť SumUp nemá o tom vedomosť a takéto informácie by ste mali odstrániť bezodkladne po identifikácii takéhoto spracovania.

3.6. Kategórie dotknutých osôb. Vy, vaši zákazníci, potenciálni zákazníci vašich zákazníkov a akékoľvek ďalšie osoby, ktorých osobné údaje sú zahrnuté do Obsahu.

4. Práva a povinnosti.

4.1. V rozsahu, v akom Údaje vašich zákazníkov spracúva spoločnossť SumUp vo vašom mene a toto spracovanie podlieha Všeobecnému nariadeniu o ochrane údajov (Nariadeniu EÚ) 2016/679; „GDPR“), beriete na vedomie a súhlasíte s tým, že na účely poskytovania Služieb zo strany SumUp ste Prevádzkovateľom týchto osobných údajov a používaním Služieb SumUp ste poverili SumUp spracovaním údajov vašich zákazníkov vo vašom mene v súlade s touto dohodou DPA.

4.2. Súhlas s touto dohodou DPA môžete odvolať v ktorejkoľvek fáze, SumUp vám však už nebude môcť túto službu poskytovať.

4.3. SumUp ako sprostredkovateľ osobných údajov:

A. spracúva Údaje vašich zákazníkov výhradne na účely uvedené v dohode DPA a v súlade s príslušnými právnymi predpismi a dohodou DPA;

B. môže konať a spracúvať údaje vašich zákazníkov iba v súlade s vaším dokumentovaným pokynom, pokiaľ zákon, súdny príkaz alebo legislatívne opatrenie nevyžadujú, aby konal bez takéhoto pokynu. V čase uzatvorenia tejto dohody DPA je vaším pokynom skutočnosť, že spoločnosť SumUp môže spracovávať údaje vašich zákazníkov iba na účely poskytovania Služieb, ako je to uvedené v dohode DPA a Dodatočných podmienkach. V súlade s podmienkami tejto DPA a so vzájomnou dohodou oboch strán môžete vydať ďalšie písomné pokyny v súlade s podmienkami tejto dohody DPA;

C. zaručuje, že osoby oprávnené na spracúvanie osobných údajov nadobudli povinnosť zachovávať mlčanlivosť, alebo sú zo zákona povinné zachovať mlčanlivosť;

D. zaručuje, že prístup k osobným údajom je udelený iba v potrebnej miere s ohľadom na poskytovanie Služieb v zmysle Dodatočných podmienok;

E. zodpovedá za zabezpečenie toho, aby zamestnanci/subdodávatelia a/alebo zástupcovia, ktorí spracúvajú vaše údaje zákazníkov, spracovávali osobné údaje iba v súlade s vašimi pokynmi.

F. vás bude okamžite informovať, ak usúdime, že niektoré alebo akékoľvek vaše pokyny sú v rozpore s platnými právnymi predpismi o ochrane osobných údajov.

G. je povinná chrániť údaje vašich zákazníkov podľa tejto dohody DPA pred akýmkoľvek zničením, zmenou, stratou a akýmkoľvek iným neoprávneným spracovaním. SumUp na tento účel prijíma príslušné bezpečnostné opatrenia v súlade s platnými právnymi predpismi. Technické a organizačné opatrenia, ktoré používa spoločnosť SumUp, závisia od technického pokroku. Je možné, že spoločnosť SumUp môže zaviesť niektoré primerané alternatívne opatrenia. Pri zavádzaní takýchto alternatív nie je možné znížiť úroveň definovaných bezpečnostných opatrení. Spoločnosť SumUp vám podľa potreby pomôže s primeranými technickými a organizačnými opatreniami a vzhľadom na povahu zaobchádzania a kategóriu informácií, ktoré má SumUp k dispozícii, pomôže zaistiť súlad s vašimi povinnosťami podľa platných právnych predpisov o ochrane osobných údajov.

H. na základe vašej odôvodnenej žiadosti sprístupní osvedčenia, ktoré preukazujú, že spoločnosť SumUp dodržiava svoje povinnosti podľa tejto dohody DPA a príslušných právnych predpisov o ochrane osobných údajov; a/alebo sprístupní informácie potrebné na preukázanie súladu s povinnosťami podľa tejto dohody DPA a príslušných právnych predpisov o ochrane osobných údajov. Informácie, ktoré má sprístupniť spoločnosť SumUp, sú obmedzené iba na nevyhnutné informácie, pričom sa prihliada na povahu Služieb a informácie, ktoré má spoločnosť SumUp k dispozícii, aby vám pomohla pri plnení vašich povinností, najmä pokiaľ ide o článok 32 a článok 36 GDPR (povinnosti týkajúce sa posudzovania vplyvu na ochranu údajov, predchádzajúce konzultácie a zaistenie bezpečnosti osobných údajov).

I. vám v primeraných časových lehotách pomôže vhodnými opatreniami a, ak je to primerane možné (vzhľadom na povahu spracúvania), pri dodržiavaní práv dotknutých osôb a všetkých ďalších príslušných povinností podľa nariadení o ochrane osobných údajov vrátane GDPR.

J. ak to povoľujú platné právne predpisy, vás upozorní po prijatí otázky alebo sťažnosti od jednotlivca, ktorého osobné údaje sú súčasťou vášho Obsahu, prípadne záväznej požiadavky zo strany štátu, orgánov činných v trestnom konaní, regulačných alebo iných orgánov, a to v súvislosti s Údajmi vašich zákazníkov, ktoré spracúvame vo vašom mene a podľa vašich pokynov.

4.4. Vy ako prevádzkovateľ osobných údajov:

A. budete zhromažďovať, používať a spracúvať osobné údaje v rámci Obsahu v súlade so všetkými príslušnými právnymi predpismi na ochranu údajov;

B. nesiete výlučnú zodpovednosť za presnosť, kvalitu a zákonné spracovanie údajov vašich zákazníkov a za prostriedky, pomocou ktorých boli získané;

C. pri používaní Služieb musíte zaistiť primeranú úroveň bezpečnosti, berúc do úvahy všetky riziká týkajúce sa Údajov vašich zákazníkov;

D. beriete na vedomie, že za akékoľvek uloženie a/alebo prenos údajov vašich zákazníkov na akúkoľvek tretiu stranu alebo platformu, okrem SumUp, nesiete výhradné riziko a zodpovednosť;

E. zabezpečíte, aby vaše pokyny týkajúce sa spracovania osobných údajov boli v súlade so všetkými právnymi predpismi, nariadeniami a pravidlami, ktoré sa vzťahujú na Údaje vašich zákazníkov. Zabezpečíte tiež, že spracovanie údajov vašich zákazníkov v súlade s vašimi pokynmi nespôsobí ani nebude mať za následok porušovanie akýchkoľvek právnych predpisov, pravidiel alebo nariadení (vrátane GDPR) z našej ani z vašej strany.

5. Oznámenia o porušení. Zmluvná strana musí okamžite informovať druhú zmluvnú stranu (najneskôr do 48 hodín), ak sa dozvie o porušení osobných údajov v súvislosti s osobnými údajmi v zmysle tejto dohody DPA. Spoločnosť SumUp vám pomôže pri plnení vašich oznamovacích povinností podľa článku 33 a článku 34 GDPR vám poskytne také informácie o porušení, ktoré vám môžeme primerane poskytnúť, berúc do úvahy povahu Služieb, informácie, ktoré máme k dispozícii a akékoľvek obmedzenia týkajúce sa zverejňovania informácií, napríklad z dôvodu dôvernosti. Napriek vyššie uvedeným skutočnostiam sa povinnosti spoločnosti SumUp podľa tohto oddielu nevzťahujú na incidenty, ktoré spôsobíte vy, ktorú spôsobí akákoľvek aktivita na vašom účte a/alebo ktoré spôsobia služby tretích strán. Spoločnosť SumUp má povinnosť spolupracovať a pomáhať vám pri vyšetrovaní, minimalizácii negatívnych dôsledkov a náprave porušenia osobných údajov, ako aj pri prevencii podobných porušení údajov v budúcnosti. Upozornenie o porušení osobných údajov od spoločnosti SumUp sa nebude považovať za uznanie zlyhania alebo zodpovednosti za takýto incident zo strany spoločnosti SumUp. V prípade porušenia osobných údajov budete povinní prijať potrebné opatrenia v zmysle platných právnych predpisov v súvislosti s Údajmi vašich zákazníkov.

6. Sprostredkovatelia v subdodávateľskom vzťahu. Týmto udeľujete spoločnosti SumUp všeobecné oprávnenie na zapojenie sprostredkovateľov v subdodávateľskom vzťahu s cieľom poskytovať Služby bez získania akéhokoľvek ďalšieho špecifického písomného oprávnenia. Spoločnosť SumUp uzavrie dohodu s každým sprostredkovateľom v subdodávateľskom vzťahu, ktorou sa zabezpečí súlad tohto sprostredkovateľa v subdodávateľskom vzťahu s podmienkami zabezpečujúcimi najmenej rovnakú úroveň ochrany a bezpečnosti, aká je stanovená v tejto dohode DPA. Ak vznesiete voči sprostredkovateľovi v subdodávateľskom vzťahu námietku, ktorá je rozumná a týka sa obáv o ochranu údajov, vyvinieme z komerčného hľadiska primerané úsilie na to, aby sme vám umožnili vyhnúť sa spracúvaniu Údajov vašich zákazníkov zo strany tohto sprostredkovateľa v subdodávateľskom vzťahu. Ak nemôžeme vykonať takéto navrhované zmeny v primeranom časovom období, upozorníme vás na to a ak budete aj naďalej namietať voči tomu, že používame tohto sprostredkovateľa v subdodávateľskom vzťahu, môžete zrušiť alebo ukončiť svoj účet, prípadne (ak je to možné) tie časti Služieb, pri ktorých sa musí používať tento sprostredkovateľ v subdodávateľskom vzťahu.

7. Prenos osobných údajov. Spracúvanie údajov vašich zákazníkov sa uskutočňuje na území Európskeho hospodárskeho priestoru („EHP“). Akýkoľvek prenosy údajov a ich spracovanie v tretej krajine mimo EÚ/EHP, ktoré nezaručujú adekvátnu úroveň ochrany v súlade s Európskou komisiou, možno vykonávať v súlade so Štandardnými zmluvnými klauzulami alebo inými vhodnými mechanizmami, ktoré garantujú adekvátnu úroveň zabezpečenia osobných údajov v súlade s požiadavkami kapitoly V nariadenia GDPR.

8. Audity. Raz ročne máte nárok iniciovať kontrolu plnenia záväzkov spoločnosti SumUp v zmysle tejto dohody DPA. Ak má spoločnosť SumUp na základe platnej legislatívy túto povinnosť, audity sa môžu opakovať raz ročne. Obe zmluvné strany sa spolu dohodnú na tom, ktorá tretia strana vykoná audit. Môžete nám však umožniť bezpečnostnú kontrolu, ktorú vykoná neutrálna tretia strana podľa nášho výberu, ak sa údaje spracúvajú v prostredí, v ktorom dochádza k spracovaniu údajov viacerých prevádzkovateľov. Ak je navrhovaný rozsah auditu v súlade s normou ISO alebo sa podobná certifikačná správa vyhotoví kvalifikovaným externým audítorom v uplynulých dvanástich mesiacoch, a spoločnosť SumUp potvrdí, že kontrolované opatrenia nezaznamenali podstatné zmeny, bude sa to považovať za splnenie požiadaviek v uvedenom časovom rámci. Audity nesmú neprimerane zasahovať do obvyklých obchodných činností spoločnosti SumUp. Ste zodpovedný za všetky náklady spojené s dodatočnou žiadosťou o preskúmanie auditu.

9. Zodpovednosť. Zodpovednosť každej strany podľa tejto dohody DPA podlieha výnimkám a obmedzeniam zodpovednosti stanoveným v Dodatočných podmienkach a/alebo Podmienkach. Súhlasíte s tým, že akékoľvek regulačné pokuty alebo nároky zo strany dotknutých osôb či iných jednotlivcov, ktoré utŕži spoločnosť SumUp v súvislosti s Údajmi vašich zákazníkov a ktoré sa týkajú alebo vyplývajú z vášho nedodržania záväzkov v zmysle tejto dohody DPA alebo Príslušných právnych predpisov na ochranu údajov, znížia maximálnu mieru súhrnnej zodpovednosti spoločnosti SumUp voči vám v zmysle Dodatočných podmienok a/alebo Podmienok v rovnakej výške, ako daná pokuta a/alebo záväzok, ktorý v dôsledku toho utŕžime.

10. Ukončenie. Táto dohoda DPA je platná dovtedy, kým budete používať ktorúkoľvek zo Služieb spoločnosti SumUp. Ak má však spoločnosť SumUp v súlade s podmienkami tejto dohody DPA alebo akýmikoľvek z jej Zmluvných podmienok alebo povinnosť uchovávať osobné údaje vašich zákazníkov po ukončení poskytovania Služieb, táto dohoda DPA zostáva v platnosti dovtedy, kým sa od spoločnosti SumUp bude vyžadovať, aby takéto osobné údaje uchovávala. Po ukončení používania Služieb a pokiaľ SumUp nebude mať povinnosť uchovávať údaje vašich zákazníkov v súlade s Dodatočnými podmienkami a/alebo Podmienkami spoločnosti SumUp, akoukoľvek dohodou alebo platnými právnymi predpismi, spoločnosť SumUp odstráni, a to aj na základe vašej písomnej žiadosti, Údaje vašich zákazníkov čo najskôr, ako to bude prakticky možné a v súlade s podmienkami spoločnosti SumUp a platnými právnymi predpismi.

11. Rôzne.

11.1. V prípade rozporu medzi touto dohodou DPA a niektorou z Dodatočných podmienok a/alebo Podmienok spoločnosti SumUp majú prednosť ustanovenia tejto dohody DPA.

11.2. Zodpovedáte za všetky náklady a výdavky, ktoré vzniknú v dôsledku dodržiavania vašich pokynov alebo požiadaviek zo strany SumUp v súlade s Dodatočnými podmienkami (vrátane tejto dohody DPA), ktoré nepatria do štandardných funkcií, ktoré všeobecne poskytuje spoločnosť SumUp prostredníctvom Služieb.

11.3. Spoločnosť SumUp má právo podľa potreby priebežne meniť a/alebo upravovať ktorékoľvek z podmienok tejto dohody DPA. Zmeny tejto Dohody môže spoločnosť SumUp vykonať v samostatnom dodatku alebo inými viditeľnými prostriedkami, a bude o nich primeraným spôsobom informovať.

11.4. Akékoľvek otázky týkajúce sa tejto dohody DPA alebo iných žiadostí týkajúcich sa spracovania osobných údajov nám posielajte na adresu [email protected] Spoločnosť SumUp sa pokúsi vyriešiť všetky sťažnosti týkajúce sa spracovania osobných údajov v súlade s touto dohodou DPA, Podmienkami a vnútornými zásadami spoločnosti SumUp.

11.5. Ak sa niektoré z ustanovení dohody DPA považuje za neplatné, na zostávajúce ustanovenia to nebude mať vplyv. Zmluvné strany musia nahradiť neplatné ustanovenia zákonným ustanovením, ktoré odzrkadľuje účel neplatného ustanovenia.

11.6. Táto Dohoda a jej výklad sa riadia v súlade s írskym právom. Akékoľvek spory vyplývajúce z tejto Dohody budú s konečnou platnosťou riešiť a rozhodovať súdy Írska s výnimkou prípadov, keď je to zakázané právnymi predpismi EÚ.