Sporazum o obdelavi podatkov

V veljavi od 15. 8. 2022

Datum zadnje posodobitve: 15. 8. 2022

Ta sporazum o varstvu podatkov je del in predmet določb dodatnih pogojev za elektronsko trgovanje SumUp (»sporazum«, »dodatni pogoji«), pravilnika o zasebnosti in vseh drugih veljavnih določil in pogojev SumUp (v nadaljevanju »pogoji«, »pravilnik o zasebnosti«), ki so sklenjeni med vami kot trgovcem SumUp (»vi«, »upravljavec osebnih podatkov«) in družbo SumUp EU Payments UAB, Konstitucijos ave. 21B, 08130 Vilna, Litva (»SumUp«, »mi«, »obdelovalec osebnih podatkov«), ki je del skupine družbe SumUp S.A.R.L. Group Companies – Skupina SumUp.

Obe stranki se strinjata in bosta zagotovili, da se pogoji te pogodbe o varstvu podatkov v celoti uporabljajo tudi za podružnice, ki so lahko vključene v obdelavo osebnih podatkov za storitve, kot so opredeljene v dodatnih pogojih. SumUp bo zlasti poskrbel, da vsi podobdelovalci pri obdelavi podatkov vaših strank delujejo skladno z enakimi pogoji, kot so zapisani v tej pogodbi o varstvu podatkov.

Za zagotovitev storitev v skladu z dodatnimi pogoji SumUp obdeluje osebne podatke strank ali obiskovalcev vašega spletnega mesta ali storitev (»vaše stranke«, »stranke«). Obdelava teh podatkov pri SumUp se v nadaljevanju imenuje »obdelava« (kot je ta izraz opredeljen v GDPR). Naslednji sporazum o varstvu podatkov določa pogoje takšne obdelave s strani SumUp.

  1. Definicije

1.1. »Ustrezna zakonodaja o varstvu podatkov« pomeni Uredbo (EU) 2016/679 (»Splošna uredba o varstvu podatkov«, »GDPR«, »uredba«) ter vso drugo veljavno zakonodajo, ki ureja obdelavo osebnih podatkov, vključno z Direktivo o e-zasebnosti 2002/58/ES, kadar je to primerno.

1.2. Izrazi »upravljavec«»posameznik, na katerega se nanašajo osebni podatki«»osebni podatki«»postopek«»obdelava« in »obdelovalec«« imajo pomen, kot je opredeljen v GDPR.

1.3. »Vsebina« pomeni vašo vsebino in morebitno vsebino, ki jo SumUp zagotovijo vaše stranke, kar med drugim vključuje besedila, fotografije, slike, zvok, video, kode, informacije iz piškotkov ali podobnih tehnologij spremljanja in morebitnih drugih gradiv.

1.4. »Podatki vaših strank« pomeni osebne podatke v vsebini vaših strank, kot jih obdela SumUp v vašem imenu v sklopu storitev. Podatki vaših strank ne vključujejo osebnih podatkov, kadar so takšni podatki nazdorovani s strani SumUp. Vse definicije, ki se uporabljajo v tem sporazumu o varstvu podatkov, vendar v tem razdelku nimajo izrecne opredelitve, bodo imele pomen, določen v dodatnih določilih. Če v dodatnih ali splošnih določilih posebne definicije niso določene, bodo imele pomen, naveden v GDPR ali v drugih veljavnih predpisih, če definicija ni opredeljena v uredbi GDPR.

2. Uporaba. Ta sporazum o varstvu podatkov se uporablja samo za podatke vaših strank in samo če velja GDRP. Strinjate se, da SumUp ne odgovarja za osebne podatke, za katere ste izbrali obdelavo prek storitev tretjih oseb ali izven obsega storitev, vključno s sistemi drugih storitev v oblaku tretjih strank, shranjevanjem brez povezave ali na kraju samem.

3. Podrobnosti o obdelavi podatkov.

3.1 Predmet. Predmet obdelave podatkov v sklopu tega sporazuma o varstvu podatkov je obdelava osebnih podatkov vaših strank.

3.2 Trajanje. V skladu z dogovorom med vami in nami, vi določite trajanje obdelave podatkov v skladu s tem sporazumom o varstvu podatkov in za izbrano obdobje, za katero se odločite za uporabo naših storitev.

3.3 Namen. Namen obdelave podatkov v skladu s tem sporazumom o varstvu podatkov je vaše zagotavljanje in izboljšava storitev. 

3.4 Narava obdelave. Storitve, ki ste jih uvedli občasno, kot je opisano v dodatnih določilih.

3.5 Vrsta osebnih podatkov. Podatki vaših strank, ki so povezani z vami, vaše stranke ali drugi posamezniki, katerih osebni podatki so vključeni v vsebino, ki se obdeluje kot del storitev v skladu podanimi navodili. Ti podatki vključujejo, vendar niso omejeni na, imena vaših strank, e-poštni naslov, mobilno/telefonsko številko, fizični naslov, bančne podatke, zgodovino transakcij, naslov IP. Posebne kategorije osebnih podatkov, vključno s tistimi, ki se nanašajo na kazenske obsodbe in kazniva dejanja, se ne bodo obdelovale za storitve in so izključene iz pogojev tega sporazuma o varstvu podatkov. Če se takšni podatki obdelujejo med uporabo naših storitev, je to brez vednosti podjetja SumUp in jih morate izbrisati takoj, ko prepoznate takšno obdelavo.

3.6 Kategorije posameznikov, na katere se nanašajo osebni podatki. Vi, vaše stranke, potencialni kupci vaših strank in vsi drugi posamezniki, katerih osebni podatki so vključeni v vsebini.

4. Pravice in obveznosti.

4.1. V obsegu, v katerem SumUp obdeluje podatke vaših strank v vašem imenu in je ta obdelava predmet Splošne uredbe o varstvu podatkov (Uredba (EU) 2016/679; »GDPR«), potrjujete in se strinjate, da ste za namene zagotavljanja storitev s strani SumUp vi upravljavec teh osebnih podatkov in z uporabo storitev SumUp naročate podjetju SumUp, da v vašem imenu obdeluje podatke vaših strank v skladu s tem sporazumom o varstvu podatkov.

4.2. Sprejem tega sporazuma o varstvu podatkov lahko kadar koli prekličete, vendar vam SumUp zaradi tega več ne bo mogel zagotavljati storitev.

4.3. SumUp v vlogi obdelovalca osebnih podatkov:

A. Podatke vaših strank obdeluje samo za namene, določene v sporazumu o varstvu podatkov in v skladu z veljavno zakonodajo in sporazumom o varstvu podatkov.

B. Lahko deluje in obdeluje podatke vaših strank samo v skladu z vašim dokumentiranim navodilom, razen če to zahteva zakon, odredba sodišča ali zakonodajni ukrep, da lahko deluje brez takšnih navodil. Vaša navodila ob sklenitvi tega sporazuma o varstvu podatkov so, da lahko SumUp obdeluje podatke vaših strank samo za namene zagotavljanja storitev, kot je opisano v sporazumu o varstvu podatkov in dodatnih pogojih. Ob spoštovanju določb tega sporazuma o varstvu podatkov in z medsebojnim dogovorom obeh strank lahko izdate dodatna pisna navodila, skladna s pogoji tega sporazuma o varstvu podatkov.

C. Jamči, da so osebe, pooblaščene za obdelavo osebnih podatkov, prevzele obveznost zaupnosti ali so zakonsko dolžne ohranjati obveznosti zaupnosti.

D. Zagotavlja, da je dostop do osebnih podatkov omogočen na podlagi potrebe po seznanitvi z izvajanjem storitev v skladu z dodatnimi pogoji.

E. Je odgovoren za to, da zaposleni/podizvajalci in/ali zastopniki, ki obdelujejo podatke vaših strank, obdelujejo osebne podatke samo v skladu z vašimi navodili.

F. Vas takoj obvesti, če meni, da so nekatera ali katera od vaših navodil v nasprotju z veljavno zakonodajo o varstvu podatkov.

G. Je dolžan zaščititi podatke vaših strank v skladu s tem sporazumom o varstvu podatkov pred uničenjem, spreminjanjem, izgubo in kakršno koli drugo nepooblaščeno obdelavo. V ta namen SumUp sprejme ustrezne varnostne ukrepe v skladu z veljavno zakonodajo. Tehnični in organizacijski ukrepi, ki jih uporablja SumUp, so odvisni od tehničnega napredka. Možno je, da bo SumUp uvedel nekaj alternativnih ustreznih ukrepov. Pri uvedbi takšnih alternativ ni mogoče zmanjšati ravni opredeljenih varnostnih ukrepov. SumUp vam bo po potrebi pomagal z ustreznimi tehničnimi in organizacijskimi ukrepi, in glede na naravo obdelave in kategorijo podatkov, ki jih ima SumUp na voljo, pomagal zagotoviti skladnost z obveznostmi v skladu z veljavno zakonodajo o varstvu podatkov.

H. Na vašo razumno zahtevo, da na razpolago potrdila, ki dokazuje, da SumUp izpolnjuje svoje obveznosti iz tega sporazuma o varstvu podatkov in veljavne zakonodaje o varstvu podatkov; in/ali da na voljo informacije, potrebne za dokazovanje skladnosti z obveznostmi iz tega sporazuma o varstvu podatkov in veljavne zakonodaje o varstvu podatkov. Informacije, ki jih mora dati na razpolago SumUp, so omejene na izključno potrebne informacije ob upoštevanju narave storitev in informacij, ki jih ima na voljo SumUp, da vam pomaga pri izpolnjevanju vaših obveznosti, zlasti v zvezi s členoma 32 in 36 GDPR (obveznosti glede ocene učinka na varstvo podatkov, predhodno posvetovanje in zagotavljanje varnosti osebnih podatkov).

I. Vam bo v razumnih rokih pomagal z ustreznimi ukrepi in, če je to razumno mogoče (glede na naravo obdelave), pri ravnanju v skladu s pravicami posameznika, na katerega se nanašajo osebni podatki, in vseh drugih ustreznih obveznosti v skladu s predpisi o zasebnosti podatkov, vključno z GDPR.

J. Vas bo obvestil, če to dovoljuje veljavna zakonodaja, ob prejemu povpraševanja ali pritožbe posameznika, katerega osebni podatki so vključeni v vaši vsebini, ali zavezujoče zahteve vlade, organov pregona, regulativnega ali drugega organa v zvezi s podatki vaših strank, ki jih obdelujemo v vašem imenu in po vaših navodilih.

4.4. Vi kot upravljavec osebnih podatkov:

A. Boste zbirali, uporabljali in obdelovali osebne podatke v vsebini v skladu s katero koli in vso veljavno zakonodajo o varstvu podatkov.

B. Ste izključno odgovorni za točnost, kakovost in zakonito obdelavo podatkov vaših strank in sredstva, s katerimi so bili pridobljeni.

C. Zagotavljate ustrezno raven varnosti pri uporabi storitev, pri čemer upoštevate vsa tveganja, povezana s podatki vaših strank.

D. Potrjujete, da je vsako shranjevanje in/ali prenos podatkov vaših strank, na katero koli tretjo osebo ali platformo, razen družbe SumUp, vaše lastno tveganje in odgovornost.

E. Zagotavljate, da bodo vaša navodila glede obdelave osebnih podatkov skladna z vsemi zakoni, predpisi in pravili, ki se uporabljajo v povezavi s podatki vaših strank. Prav tako zagotavljate, da obdelava podatkov vaših strank v skladu z vašimi navodili ne bo povzročila ali imela za posledico, da bi vi ali mi kršili zakone, pravila ali predpise (vključno z GDPR).

5. Obvestila o kršitvah. Stranka mora o tem nemudoma obvestiti drugo stranko (vendar najpozneje v 48 urah) po tem, ko izve za kršitev osebnih podatkov v zvezi z osebnimi podatki, ki se obdelujejo v skladu s tem sporazumom o varstvu podatkov. SumUp vam bo pomagal pri izpolnjevanju obveznosti glede obveščanja v skladu s členoma 33 in 34 GDPR, vam zagotovil podatke o kršitvi, ki vam jih razumno lahko razkrije, ob upoštevanju narave storitve, informacije, ki so nam na voljo, in kakršne koli omejitve glede razkritja informacij, na primer zaradi zaupnosti. Kljub zgoraj navedenemu, obveznosti podjetja SumUp v tem razdelku ne veljajo za incidente, ki jih povzročite, kakršne koli dejavnosti na vašem računu in/ali za storitve tretjih oseb. SumUp je dolžan sodelovati in vas podpirati pri preiskavi, zmanjševanju negativnih posledic in odpravi kršitve osebnih podatkov ter preprečevanju prihodnjih podobnih kršitev podatkov. Obvestilo o kršitvi osebnih podatkov družbe SumUp se ne bo štelo kot potrditev kakršne koli napake ali odgovornosti v zvezi s takšnim incidentom s strani družbe SumUp. V primeru kršitve osebnih podatkov ste dolžni sprejeti ukrepe, ki jih zahteva veljavna zakonodaja v zvezi s podatki vaših strank.

6. Podobdelovalci. S tem podelite SumUp splošno pooblastilo za vključevanje podobdelovalcev za zagotavljanje storitev brez nadaljnjega pisnega ali posebnega pooblastila. SumUp bo sklenil pogodbo z vsakim podobdelovalcem in tako zagotovil, da takšen podobdelovalec ravna v skladu s pogoji, ki zagotavljajo vsaj enako raven zaščite in varnosti, kot so določeni v tem sporazumu o varstvu podatkov. Če ugovarjate kateremu koli podobdelovalcu in je vaš ugovor razumen in povezan s pomisleki glede varstva podatkov, bomo uporabili tržno razumna prizadevanja, da vam damo na voljo sredstvo za izogibanje obdelavi podatkov vaših strank s strani podobdelovalca, ki se mu nasprotuje. Če takšnih predlaganih sprememb ne bomo mogli omogočiti v razumnem času, vas bomo o tem obvestili in če še vedno nasprotujete naši uporabi takega podobdelovalca, lahko prekličete ali ukinete svoj račun ali, če je mogoče, dele storitve, ki vključujejo uporabo takega podobdelovalca.

7. Prenos osebnih podatkov. Obdelava podatkov vaših strank s strani SumUp se mora izvajati na ozemlju Evropskega gospodarskega prostora (»EGP«). Vsak prenos in obdelava v tretjo državo zunaj EU/EGP, ki po mnenju Evropske komisije ne zagotavlja ustrezne ravni zaščite, se izvede v skladu s standardnimi pogodbenimi klavzulami ali drugim ustreznim mehanizmom, ki zagotavlja ustrezno raven varnosti osebnih podatkov v skladu z zahtevami poglavja V GDPR.

8. Revizije. Upravičeni ste, da enkrat letno uvedete pregled obveznosti družbe SumUp v skladu s tem sporazumom o varstvu podatkov. Če mora SumUp to storiti v skladu z veljavno zakonodajo, se revizije lahko ponovijo enkrat letno. Obe stranki se skupaj odločita, ali naj revizijo izvede tretja oseba. Lahko pa nam dovolite, da varnostni pregled izvede nevtralna tretja oseba po naši izbiri, če gre za okolje obdelave, v katerem se obdelujejo podatki več upravljavcev podatkov. Če predlagani obseg presoje sledi ISO ali podobnemu certifikacijskemu poročilu, ki ga je v preteklih dvanajstih mesecih izvedel usposobljeni neodvisni revizor, in SumUp potrdi, da ni bilo bistvenih sprememb v ukrepih, ki se pregledujejo, bo to izpolnilo vse prejete zahteve v takem časovnem okviru. Revizije ne smejo neupravičeno ovirati običajnih dejavnosti poslovanja SumUp. Odgovorni ste za vse stroške, povezane z zahtevo za revizijski pregled.

9. Odgovornost. Odgovornost vsake stranke v skladu s tem sporazumom o varstvu podatkov je predmet izključitev in omejitev odgovornosti, ki so določene v dodatnih pogojih in/ali pogojih. Strinjate se, da vse zakonske kazni ali zahtevki posameznikov, na katere se nanašajo osebni podatki, ali drugih, ki jih ima SumUp v zvezi s podatki vaših strank, ki nastanejo kot posledica ali v zvezi z vašim neizpolnjevanjem obveznosti iz tega sporazuma o varstvu podatkov ali veljavnega zakona o varstvu podatkov bo zmanjšal največjo skupno odgovornost družbe SumUp do vas v skladu z dodatnimi pogoji in/ali pogoji na znesek, enak globi in/ali odgovornosti, ki jo imamo zaradi tega.

10. Prekinitev. Ta sporazum o varstvu podatkov je veljaven, dokler uporabljate katero koli storitev SumUp. Če pa je SumUp zavezan, da v skladu s pogoji tega sporazuma o varstvu podatkov ali katerega koli od pogojev in določil SumUp, hrani osebne podatke vaših strank po ukinitvi storitev, ta sporazum o varstvu podatkov še naprej velja, dokler je SumUp zavezan k hrambi teh osebnih podatkov. Po prenehanju uporabe storitev, in če ni potrebno, da SumUp obdrži podatke vaših strank v skladu z dodatnimi pogoji in/ali pogoji, kakršnimi koli sporazumi ali veljavnimi zakoni, mora SumUp, ob vaši pisni zahtevi, izbrisati osebne podatke v najkrajšem možnem času in v skladu s pogoji SumUp in veljavnimi zakoni.

11. Razno.

11.1. V primeru nasprotovanja med tem sporazumom o varstvu podatkov in katerimi koli dodatnimi pogoji in/ali pogoji SumUp veljajo določbe tega sporazuma o varstvu podatkov.

11.2. Vi ste odgovorni za vse stroške, ki izhajajo iz ravnanja SumUp v skladu z vašimi navodili ali zahtevami skladno z dodatnimi pogoji (vključno s tem sporazumom o varstvu podatkov), ki so zunaj obsega standardne funkcionalnosti, ki jo SumUp na splošno ponuja prek storitev.

11.3. SumUp ima pravico do spremembe in/ali prilagoditve katerega koli pogoja tega sporazuma o varstvu podatkov, kot je to občasno potrebno. Spremembe sporazuma lahko SumUp izvede v ločeni prilogi ali na drug vidni način in o tem ustrezno obvesti.

11.4. Vsa vprašanja v povezavi s tem sporazumom o varstvu podatkov ali drugimi zahtevami, ki se nanašajo na obdelavo osebnih podatkov, nam lahko posredujete na [email protected] SumUp bo poskušal rešiti vse pritožbe v povezavi z obdelavo osebnih podatkov vaših strank v skladu s tem sporazumom o varstvu podatkov, pogoji in internimi pravilniki SumUp.

11.5. Če se katera od določb sporazuma o varstvu podatkov šteje za neveljavno, to ne vpliva na preostale določbe. Stranki neveljavne določbe nadomestita z zakonsko določbo, ki odraža namen neveljavne določbe.

11.6. Ta sporazum se ureja in razlaga v skladu z litovsko zakonodajo. Vsak spor, ki izhaja iz sporazuma ali v povezavi z njim, se dokončno posreduje in reši na sodiščih Republike Litve, razen če to prepoveduje zakonodaja EU.