Avtal om uppgiftsbehandling

Gäller från och med 2022-08-15

Senaste uppdatering 2022-08-15

Detta Personuppgiftsbiträdesavtal (”Personuppgiftsbiträdesavtalet”) utgör en del av, och är föremål för, bestämmelserna i SumUps E-handelsvillkor (”Avtalet”, ”Tilläggsvillkoren”), Sekretesspolicy och alla andra gällande SumUp-villkor (häri kallade ”Villkoren”, ”Sekretesspolicyn”) som har ingåtts och godkänts av och mellan dig som SumUp-användare (”du”, ”Personuppgiftsansvarig”) och SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland D02 K580 (”SumUp”, ”vi”, ”Personuppgiftsbiträde”), en del av SumUp S. A.R.L. Group Companies – SumUp Group.

Varje part samtycker till, och förbinder sig att säkerställa, att villkoren i detta Personuppgiftsbiträdesavtal även tillämpas till fullo på dess eventuella närstående bolag som kan vara inblandade i behandlingen av personuppgifter för de Tjänster som definieras i Tilläggsvillkoren. SumUp kommer särskilt att se till att alla underbiträden arbetar enligt samma villkor som i detta Personuppgiftsbiträdesavtal när de behandlar Dina kunders uppgifter.

SumUp behandlar uppgifter om kunder eller besökare på din webbplats eller dina tjänster (”Dina kunder”, ”Kunder”) för att kunna erbjuda dig Tjänsterna enligt Tilläggsvillkoren. SumUps behandling av sådana uppgifter kallas i det som följer för ”behandling” (enligt definitionen i GDPR). Villkoren för sådan behandling av SumUp anges i följande Personuppgiftsbiträdesavtal.

1. Definitioner

1.1. ”Gällande lagstiftning om uppgiftsskydd” avser EU-förordning 2016/679 (”Allmänna dataskyddsförordningen”, ”GDPR”, ”Förordningen”) samt all annan gällande lagstiftning som reglerar behandlingen av personuppgifter, däribland i tillämpliga fall direktiv 2002/58/EG om integritet och elektronisk kommunikation.

1.2. Termerna ”personuppgiftsansvarig””registrerad person””personuppgifter”, ”behandla”, ”behandling” och ”personuppgiftsbiträde” har samma betydelser som dessa termer har i GDPR.

1.3. ”Innehåll” avser ditt Innehåll och allt innehåll som tillhandahålls till SumUp från Dina kunder, inklusive men inte begränsat till text, foton, bilder, ljud, video, kod, information från cookies eller liknande spårningstekniker samt allt annat material.

1.4. ”Dina kunders uppgifter” avser personuppgifterna i det Innehåll från Din(a) kund(er) som behandlas av SumUp för din räkning som en del av Tjänsterna. Dina kunders uppgifter omfattar inte personuppgifter där sådana uppgifter kontrolleras av SumUp.

Alla termer som används i detta Personuppgiftsbiträdesavtal men som inte uttryckligen definieras i detta avsnitt har den betydelse som definieras i Tilläggsvillkoren. Om det inte finns någon specifik definition i Tilläggsvillkoren eller i Villkoren ska innebörden anses vara den som anges i GDPR, eller i andra gällande regler om innebörden inte definieras i Förordningen.

2. Tillämplighet. Detta Personuppgiftsbiträdesavtal är endast tillämpligt på Dina kunders uppgifter och endast om GDPR gäller. Du samtycker till att SumUp inte ansvarar för personuppgifter som du har valt att behandla via tjänster från tredje part eller utanför Tjänsterna, inklusive system för andra molntjänster från tredje part, offlinelagring eller lokal lagring.

3. Information om uppgiftsbehandling

3.1. Föremål. Föremålet för uppgiftsbehandlingen enligt detta Personuppgiftsbiträdesavtal är Dina kunders uppgifter.

3.2. Varaktighet. Mellan dig och oss bestäms varaktigheten för uppgiftsbehandlingen enligt detta Personuppgiftsbiträdesavtal av dig och för den valda period under vilken du väljer att använda våra Tjänster.

3.3. Syfte. Syftet med uppgiftsbehandlingen enligt detta Personuppgiftsbiträdesavtal är att tillhandahålla och förbättra de Tjänster som du har initierat. 

3.4. Behandlingens art. Tjänsterna så som dessa beskrivs i Tilläggsvillkoren och som du initierar från tid till annan.

3.5. Typ av personuppgifter. Dina Kunders uppgifter om dig, Dina kunder eller andra personer vars personuppgifter ingår i Innehåll som behandlas som en del av Tjänsterna i enlighet med givna instruktioner. Dessa uppgifter omfattar, men är inte begränsade till, Dina kunders namn, e-postadresser, mobilnummer/telefonnummer, fysiska adresser, bankuppgifter, transaktionshistorik och IP-adresser. Särskilda kategorier av personuppgifter, inklusive uppgifter om brottsdomar och brott, anses inte behandlas inom ramen för Tjänsterna och omfattas därmed inte av villkoren i detta Personuppgiftsbiträdesavtal. Om sådana uppgifter behandlas medan du använder våra Tjänster sker detta utan SumUps vetskap, och du ska radera sådana uppgifter omedelbart efter att du har upptäckt sådan behandling.

3.6. Kategorier av registrerade personer. Du, Dina kunder, dina kunders potentiella kunder och alla andra personer vars personuppgifter ingår i Innehållet.

4. Rättigheter och skyldigheter

4.1. I den mån Dina kunders uppgifter behandlas av SumUp för din räkning och denna behandling omfattas av Allmänna dataskyddsförordningen (EU-förordning 2016/679 eller ”GDPR”), bekräftar och godkänner du att du är Personuppgiftsansvarig för sådana personuppgifter när SumUp tillhandahåller Tjänsterna, och att du genom att använda SumUps Tjänster har gett SumUp i uppdrag att behandla Dina kunders uppgifter för din räkning i enlighet med detta Personuppgiftsbiträdesavtal.

4.2. Du kan när som helst återkalla godkännandet av detta Personuppgiftsbiträdesavtal, men om du gör det kommer SumUp inte längre att kunna tillhandahålla Tjänsten till dig.

4.3. SumUp i egenskap av personuppgiftsbiträde:

A. behandlar Dina kunders uppgifter endast för de ändamål som anges i Personuppgiftsbiträdesavtalet och i enlighet med gällande lagar samt Personuppgiftsbiträdesavtalet.

B. får endast agera och behandla Dina kunders uppgifter i enlighet med dina dokumenterade instruktioner, såvida inte lagar, domstolsbeslut eller lagstiftningsåtgärder kräver att vi handlar utan sådana instruktioner. Dina instruktioner, vid tidpunkten för ingåendet av detta Personuppgiftsbiträdesavtal, är att SumUp endast får behandla Dina kunders uppgifter i syfte att leverera Tjänsterna enligt beskrivningen i Personuppgiftsbiträdesavtalet och Tilläggsvillkoren. Med förbehåll för villkoren i detta Personuppgiftsbiträdesavtal, och efter ömsesidig överenskommelse mellan båda parter, kan du utfärda ytterligare skriftliga instruktioner om dessa är förenliga med villkoren i detta Personuppgiftsbiträdesavtal.

C. garanterar att de personer som tillåts behandla personuppgifter har åtagit sig att iaktta tystnadsplikt eller är rättsligt skyldiga att iaktta tystnadsplikt.

D. garanterar att tillgång till personuppgifterna beviljas på grundval av ett behov av att känna till dem för att kunna utföra Tjänsterna enligt Tilläggsvillkoren.

E. ansvarar för att säkerställa att anställda/underleverantörer och/eller ombud som behandlar Dina kunders uppgifter endast behandlar personuppgifterna i enlighet med dina instruktioner.

F. ska informera dig omedelbart om vi anser att några av dina instruktioner strider mot Gällande lagstiftning om uppgiftsskydd.

G. är skyldigt att skydda Dina kunders uppgifter enligt detta Personuppgiftsbiträdesavtal mot förstörelse, ändring, förlust och annan otillåten behandling. För detta ändamål vidtar SumUp lämpliga säkerhetsåtgärder i enlighet med gällande lagstiftning. Vilka tekniska och organisatoriska åtgärder som SumUp tillämpar beror på den tekniska utvecklingen. Det kan hända att SumUp inför lämpliga alternativa åtgärder. Det är inte möjligt att sänka nivån på de fastställda säkerhetsåtgärderna när sådana alternativ införs. SumUp ska bistå dig med de lämpliga tekniska och organisatoriska åtgärder som krävs och, med hänsyn till behandlingens art och den kategori av information som SumUp har tillgång till, bidra till att säkerställa att du uppfyller dina skyldigheter enligt Gällande lagstiftning om uppgiftsskydd.

H. ska på din skäliga begäran tillhandahålla intyg som visar att SumUp uppfyller sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och Gällande lagstiftning om uppgiftsskydd, och/eller tillhandahålla den information som krävs för att visa att SumUp uppfyller sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och Gällande lagstiftning om uppgiftsskydd. Den information som SumUp ska tillhandahålla är begränsad till sådan information som krävs, med hänsyn till Tjänsternas art och den information som SumUp har tillgång till, för att hjälpa dig att uppfylla dina skyldigheter, särskilt med avseende på artikel 32 och 36 i GDPR (skyldigheter avseende konsekvensbedömningar av personuppgiftsskydd, förhandssamråd och säkerställande av säkerhet för personuppgifter).

I. ska inom rimliga tidsramar bistå dig med lämpliga åtgärder och, i den mån det rimligen är möjligt (med hänsyn till behandlingens art), med att uppfylla registrerade personers rättigheter samt alla andra relevanta skyldigheter enligt dataskyddsbestämmelserna inklusive GDPR.

J. ska meddela dig, om det är tillåtet enligt gällande lag, när vi tar emot en förfrågan eller ett klagomål från en person vars personuppgifter ingår i ditt Innehåll, eller ett bindande krav från en myndighet, brottsbekämpande myndighet, tillsynsmyndighet eller annat organ, med avseende på Dina kunders uppgifter som vi behandlar för din räkning och enligt dina instruktioner.

4.4. I egenskap av personuppgiftsansvarig ska du:

A. samla in, använda och behandla personuppgifter i Innehållet i enlighet med all Gällande lagstiftning om uppgiftsskydd.

B. ensam ansvara för riktigheten, kvaliteten och den lagliga behandlingen av Dina kunders uppgifter och de medel genom vilka de har erhållits.

C. säkerställa en lämplig säkerhetsnivå när du använder Tjänsterna, med beaktande av eventuella risker med avseende på Dina kunders uppgifter.

D. intyga att all lagring och/eller överföring som du gör av Dina kunders uppgifter till tredje parter eller plattformar, förutom SumUp, sker på din egen risk och under eget ansvar.

E. säkerställa att dina instruktioner med avseende på behandling av personuppgifter är förenliga med alla lagar, förordningar och regler som gäller för Dina kunders uppgifter. Du ska också se till att behandlingen av Dina kunders uppgifter i enlighet med dina instruktioner inte orsakar eller resulterar i att vi eller du bryter mot några lagar, regler eller förordningar (inklusive GDPR).

5. Meddelanden om incidenter. Varje part ska omedelbart informera den andra parten (dock inom högst 48 timmar) efter att ha fått kännedom om en personuppgiftsincident i samband med personuppgifter som behandlas enligt detta Personuppgiftsbiträdesavtal. SumUp ska hjälpa dig att uppfylla dina meddelandeskyldigheter enligt artikel 33 och 34 i GDPR och förse dig med den information om incidenten som vi rimligen kan lämna ut till dig med hänsyn till Tjänsternas art, vilken information som är tillgänglig för oss och eventuella restriktioner avseende utlämnande av informationen, t.ex. på grund av sekretess. Oaktat ovanstående gäller SumUps skyldigheter enligt detta avsnitt inte incidenter som orsakas av dig, aktiviteter på ditt konto och/eller tredje parts tjänster. SumUp är skyldigt att samarbeta med och stödja dig med avseende på utredning, minimering av negativa konsekvenser och avhjälpande av den aktuella personuppgiftsincidenten samt förebyggande av framtida liknande personuppgiftsincidenter. SumUps meddelande om en personuppgiftsincident ska inte betraktas som ett erkännande från SumUp av fel eller ansvar med avseende på sådan incident. I händelse av en personuppgiftsincident är du skyldig att vidta de åtgärder som krävs enligt gällande lagstiftning med avseende på Dina kunders uppgifter.

6. Underbiträden. Du ger härmed SumUp din generella tillåtelse att anlita underbiträden för att tillhandahålla Tjänsterna utan att behöva erhålla ytterligare skriftligt och specifikt tillstånd. SumUp ska ingå avtal med varje underbiträde som garanterar att underbiträdet följer villkor som garanterar minst samma skydds- och säkerhetsnivå som den som anges i detta Personuppgiftsbiträdesavtal. Om du invänder mot ett underbiträde och din invändning är skälig och gäller frågor om uppgiftsskydd, kommer vi att vidta kommersiellt rimliga åtgärder för att du ska ha möjlighet att avstå från att överlåta Dina kunders personuppgifter för behandling till det underbiträde som din invändning är riktad mot. Om vi inte kan göra sådana föreslagna ändringar tillgängliga inom en rimlig tidsperiod kommer vi att meddela dig, och om du fortfarande har invändningar mot vårt anlitande av det aktuella underbiträdet kan du avbryta eller avsluta ditt konto eller, om möjligt, de delar av Tjänsterna som involverar anlitande av det aktuella underbiträdet.

7. Överföring av personuppgifter. Behandlingen av Dina kunders uppgifter ska ske inom Europeiska ekonomiska samarbetsområdet (”EES”). Varje överföring till och behandling i ett tredjeland utanför EU/EES som inte garanterar en adekvat skyddsnivå enligt Europeiska kommissionen ska ske i enlighet med Standardavtalsklausuler eller annan lämplig mekanism som garanterar en adekvat skyddsnivå för personuppgifter i enlighet med kraven i kapitel V i GDPR.

8. Revisioner. Du har rätt att en gång per år inleda en granskning av SumUps skyldigheter enligt detta Personuppgiftsbiträdesavtal. Om SumUp är skyldigt att göra det enligt gällande lagstiftning kan revisioner upprepas en gång per år. Parterna beslutar tillsammans om en tredje part ska genomföra revisionen. Du har dock möjlighet att tillåta oss att låta säkerhetsgranskningen utföras av en neutral tredje part som vi väljer, förutsatt det rör sig om en behandlingsmiljö där flera personuppgiftsansvarigas uppgifter behandlas. Om den föreslagna omfattningen av revisionen följer en ISO- eller liknande certifieringsrapport utförd av en kvalificerad tredjepartsrevisor inom de senaste tolv månaderna, och SumUp bekräftar att det inte har skett några väsentliga förändringar i de åtgärder som granskas, ska detta anses uppfylla alla begäranden som har tagits emot inom denna tidsram. Revisioner får inte på ett oskäligt sätt störa SumUps normala verksamhet. Du ansvarar för alla kostnader i samband med din begäran om revision.

9. Ansvar. Varje parts ansvar enligt detta Personuppgiftsbiträdesavtal är föremål för de undantag och ansvarsbegränsningar som anges i Tilläggsvillkoren och/eller Villkoren. Du samtycker till att eventuella straffrättsliga påföljder eller krav från registrerade personer, eller andra, som SumUp ådrar sig i samband med Dina kunders uppgifter och som uppstår som ett resultat av, eller i samband med, din underlåtenhet att uppfylla dina skyldigheter enligt detta Personuppgiftsbiträdesavtal eller Gällande lagstiftning om uppgiftsskydd, ska minska SumUps maximala samlade ansvar gentemot dig enligt Tilläggsvillkoren och/eller Villkoren med samma belopp som de böter och/eller det ansvar vi ådrar oss till följd av detta.

10. Uppsägning. Detta Personuppgiftsbiträdesavtal ska gälla så länge som du använder några av SumUps Tjänster. Om SumUp är skyldigt, enligt villkoren i detta Personuppgiftsbiträdesavtal eller något av SumUps Villkor, att behålla Dina kunders personuppgifter efter det att Tjänsterna har avslutats, ska detta Personuppgiftsbiträdesavtal dock fortsätta att gälla så länge som SumUp är skyldigt att behålla sådana personuppgifter. När användningen av Tjänsterna avslutas, och om SumUp inte är skyldigt att behålla Dina kunders uppgifter enligt SumUps Tilläggsvillkor och/eller Villkor, något avtal eller gällande lagstiftning, ska SumUp, även på skriftlig begäran av dig, radera Dina kunders uppgifter så snart som det rimligen är möjligt och i enlighet med SumUps Villkor och gällande lagstiftning.

11. Diverse.

11.1. I händelse av konflikter mellan detta Personuppgiftsbiträdesavtal och något av SumUps Tilläggsvillkor och/eller Villkor ska bestämmelserna i detta Personuppgiftsbiträdesavtal gälla.

11.2. Du ansvarar för alla kostnader och utgifter som uppstår till följd av att SumUp följer dina instruktioner eller begäranden i enlighet med Tilläggsvillkoren (inklusive detta Personuppgiftsbiträdesavtal) när dessa faller utanför den standardfunktionalitet som SumUp generellt tillgängliggör genom Tjänsterna.

11.3. SumUp ska ha rätt att göra alla eventuella ändringar och/eller justeringar av bestämmelserna i detta Personuppgiftsbiträdesavtal som kan krävas från tid till annan. SumUp kan komma att göra ändringar i Avtalet i en separat bilaga eller på annat synligt sätt, och dessa ändringar kommer att meddelas på lämpligt sätt.

11.4. Alla frågor om detta Personuppgiftsbiträdesavtal eller andra förfrågningar som rör behandling av personuppgifter ska ställas till oss på [email protected] SumUp kommer att försöka lösa eventuella klagomål på användningen av Dina kunders uppgifter i enlighet med detta Personuppgiftsbiträdesavtal, Villkoren och SumUps interna policyer.

11.5. Om någon av bestämmelserna i Personuppgiftsbiträdesavtalet anses vara ogiltig ska detta inte påverka övriga bestämmelser. Parterna ska ersätta eventuella ogiltiga bestämmelser med lagliga bestämmelser som speglar de ogiltiga bestämmelsernas syften.

11.6. Detta Avtal ska regleras av och tolkas i enlighet med irländsk lag. Eventuella tvister som uppstår genom eller i samband med Avtalet ska slutgiltigt överlämnas till och lösas av irländska domstolar, utom i de fall då detta är förbjudet enligt EU-lagstiftningen.