Databehandlingsavtal

Gäller från och med april 2020

Senast uppdaterad den 09/03/2022

Mellan:

Användare/prenumeranter av SumUps fakturerings- och bokföringstjänster (nedan kallad "Kunden" eller "Personuppgiftsansvarig") och

SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland D02 K580, moms: IE9813461A (nedan kallat "SumUp" eller "Personuppgiftsbiträde") 

var och en en "part", tillsammans "parterna", 

HAR GODKÄNT villkoren i detta dataskyddsavtal (nedan kallat "dataskyddsavtalet" eller "avtalet") gällande skydd av personuppgifter vid behandling av personuppgifter i fall då kunden är personuppgiftsansvarig och SumUp är personuppgiftsbiträde och då detta sker för att uppfylla tjänsteförpliktelser som anges i SumUps fakturerings- och bokföringsvillkor i serviceavtalet (nedan). Som del av uppfyllandet av dessa tjänsteförpliktelser behandlar SumUp vissa personuppgifter å personuppgiftsansvarigs vägnar, i enlighet med villkoren i detta avtal. Varje part samtycker till och kommer att se till att villkoren i detta avtal också är fullt tillämpliga på dess dotterbolag som kan vara involverade i behandlingen av personuppgifter för projektet som definieras i SumUps fakturerings- och redovisningvillkor, i serviceavtalet. SumUp kommer att säkerställa att alla underleverantörer arbetar inom samma villkor som detta avtal när de behandlar kundens personuppgifter.

Inledning och definitioner

Personuppgifter definieras som all information som hänför sig till en registrerad person genom vilken den kan identifieras, direkt eller indirekt, särskilt genom hänvisning till en identifierare såsom ett namn, ett identifikationsnummer, platsdata, en onlineidentifierare eller till en eller flera faktorer som är specifika för den fysiska personens eller juridiska personens fysiska, fysiologiska, genetiska, mentala, ekonomiska, kulturella eller sociala identitet (i tillämpliga fall).

Alla andra definitioner som hänvisas till i detta dokument och som rör begreppen "personuppgiftsbiträde" eller "personuppgiftsansvarig" sker i enlighet med gällande dataskyddsförordning, inklusive EU:s dataskyddsförordning GDPR, reglering 2016/679 från den 27 april 2016 (nedan "GDPR").

Känsliga personuppgifter bedöms inte behandlas enligt applikationstjänsten som erbjuds av personuppgiftsbiträdet (fakturering och bokföring med SumUp) och undantas därigenom från detta avtal.

Genom att registrera sig för att använda SumUp-programmet för fakturering och bokföring och genom att godkänna villkoren, inklusive bolagets integritetspolicy och detta dataskyddsavtal, godkänner parterna enligt all nationell dataskyddsförordning och enligt GDPR att detta avtal ska styra förhållandet mellan personuppgiftsbiträdet och personuppgiftsansvarig och kontrollera SumUps behandling av kunders personuppgifter. Detta avtal har företräde såvida det inte har ersatts av ett annat signerat dataskyddsavtal som meddelar företräde över detta avtal.

Syftet med SumUps behandling av personuppgifter å kundens vägnar är att säkerställa att kunden kan använda de fullständiga tjänsterna och att möjliggöra att detta avtal uppfylls. SumUp säkerställer att tillräckligt säkerhet skyddar personuppgifterna vid alla tidpunkter.

Båda parterna bekräftar att de är berättigade att signera detta avtal genom att signera avtalet.

Personuppgiftsbiträdets ansvar

Personuppgiftsbiträdet ska hantera alla personuppgifter å personuppgiftsansvarigs vägnar samt i enlighet med personuppgiftsansvarigs anvisningar. Genom att ingå detta avtal instrueras SumUp (samt eventuella parter som behandlar personuppgifter å Debitoors vägnar och som SumUp har lagliga avtal med) att behandla personuppgifter å kundens vägnar:

  1. I enlighet med alla nationella och europeiska lagar

  2. Fullgöra sina skyldigheter enligt SumUps fakturerings- och bokföringsvillkor

  3. enligt ytterligare anvisningar från personuppgiftsansvarig

  4. i enlighet med vad som beskrivs i detta avtal

Som del av att tillhandahålla applikationen ska personuppgiftsbiträdet alltid tillhandahålla lämpliga lösningar till kunden, för att möjliggöra fortsatt utveckling av kundens verksamhet när de använder tjänsten. Personuppgiftsbiträdet spårar hur kunden använder applikationen för att kunna göra bäst förslag, för att tillhandahålla relevanta tjänster utan störning samt för att skicka den mest korrekta kommunikationen för att erbjuda fortsatt användarvänlighet och tillfredsställelse. Såvitt behandlingen av personuppgifter från applikationen utgör en del av detta, behandlas de endast i enlighet med denna DPA och tillämplig lag och delas endast efter behov för att ge en bättre upplevelse för Kunden.

Med hänsyn till tillgänglig teknik och kostnaden för genomförandet, samt omfattningen, kontexten och syftet med behandlingen, är personuppgiftsbiträdet skyldigt att vidta alla rimliga åtgärder, inklusive tekniska och organisatoriska åtgärder, för att säkerställa en tillräcklig säkerhetsnivå i förhållande till risken och kategorin av personuppgifter som ska skyddas. Personuppgiftsbiträdet ska bistå personuppgiftsansvarig med lämpliga tekniska och organisationsmässiga åtgärder vid behov och ska tillhandahålla lämpliga åtgärder för typen av behandling och kategorin av uppgifter som är tillgängliga för personuppgiftsbiträdet för att säkerställa efterlevnad av personuppgiftsansvarigs skyldigheter enligt gällande dataskyddsförordning.

Personuppgiftsbiträdet ska utan onödigt dröjsmål meddela den personuppgiftsansvarige om personuppgiftsbiträdet får kännedom om ett säkerhetsbrott.

Dessutom ska personuppgiftsbiträdet, så långt det är möjligt och lagligt, informera den personuppgiftsansvarige om en begäran om information om lagrade uppgifter begärs (begäran om åtkomst till uppgifter) av något organ som de ska tillhandahålla den till. Personuppgiftsbiträdet ska svara på sådan typ av förfrågan när personuppgiftsansvarig har godkänt detta. Personuppgiftsbiträdet ska inte dela information om detta avtal såvida de inte är skyldiga att göra det enligt lag, såsom för att följa domstolsbeslut.

Om personuppgiftsansvarig kräver uppgifter eller hjälp för att skydda data eller dokumentation eller information om hur personuppgiftsbiträdet allmänt behandlar personuppgifter kan de be biträdet om denna information. Personuppgiftsbiträdet kommer i rimlig utsträckning att bistå den personuppgiftsansvarige i dess efterlevnad av skyldigheter enligt artiklarna 32 till 36 i GDPR.

Personuppgiftsbiträdet, dess anställda och eventuella dotterbolag ska säkerställa att personuppgifterna som behandlas i enlighet med avtalet är konfidentiella. Denna bestämmelse ska fortsatt gälla efter att avtalet sagts upp, oberoende av orsaken till uppsägningen.

Personuppgiftsansvarigs ansvar

Den personuppgiftsansvarige bekräftar, genom att underteckna/acceptera detta avtal, att den vid användning av applikationen fritt kommer att kunna behandla sina uppgifter en gång i enlighet med alla lagkrav för dataskydd inklusive GDPR. 

Den personuppgiftsansvarige kan återkalla godkännandet av denna DPA när som helst, men då kommer personuppgiftsbiträdet inte längre att kunna tillhandahålla tjänsten.

Kunden har en juridisk grund att behandla personuppgifterna hos personuppgiftsbiträdet (inklusive eventuella underleverantörer) med användning av SumUps tjänster.

Personuppgiftsansvarig ansvarar alltid för att personuppgifterna som behandlas av personuppgiftsbiträdet är korrekta och pålitliga samt för detta innehåll och dess integritet. De ska ha uppfyllt alla obligatoriska krav gällande meddelanden om eller erhållande av tillstånd från relevanta myndigheter för behandling av personuppgifter. De har även uppfyllt sina skyldigheter gällande delning av uppgifter med relevanta myndigheter för behandling av personuppgifter i enlighet med alla gällande dataskyddsförordningar.

Den personuppgiftsansvarige måste ha en korrekt lista över de kategorier av personuppgifter som den behandlar, särskilt om sådan behandling skiljer sig från de kategorier som anges av personuppgiftsbiträdet i bilaga A.

Avtal om dataöverföring och användning av underleverantörer

För att tillhandahålla sina tjänster till personuppgiftsansvarig kan personuppgiftsbiträdet komma att använda underentreprenörer för registerföring (eller "underleverantörer"). Dessa underleverantörer kan vara tredje parts leverantörer både inom och utanför EU/EES. Personuppgiftsbiträdet ska säkerställa att alla underleverantörer uppfyller skyldigheterna och kraven som anges i detta avtal, i synnerhet att deras nivå av dataskydd uppfyller den standard som krävs av relevant dataskyddsförordning. Om en jurisdiktion faller utanför EU/EES och inte finns på EU-kommissionens godkända lista över tillfredsställande dataskyddsnivåer enligt GDPR, ingås ett specifikt avtal mellan SumUp och sådan underleverantör för att säkerställa att de kommer att behålla alla personuppgifter i enlighet med kraven enligt EU:s dataskyddslagar.

Detta avtal utgör ett specifikt och uttryckligt samtycke från personuppgiftsansvarig att personuppgiftsbiträdet använder underleverantörer för databehandling samt att dessa leverantörer i vissa fall kan vara baserade utanför EU/EES eller i territorier som inte godkänts av EU-kommissionen.

Personuppgiftsansvarig kan återkalla detta medgivande när som helst. Dock avslutar ett sådant återkallande det gällande avtalet och personuppgiftsbiträdet kan i sådana fall ej fortsatt tillhandahålla tjänsten.

Om en underleverantör är etablerad eller lagrar personuppgifter utanför EU/EES eller EU-kommissionens godkända territorier, har personuppgiftsbiträdet ansvaret för att säkerställa en tillfredsställande grund för överföring av personuppgifter till ett tredje land på uppdrag av den personuppgiftsansvarige, inklusive användningen av EU-kommissionens standardavtal eller specifika åtgärder som har förhandsgodkänts av EU-kommissionen.

Personuppgiftsansvarig måste underrättas innan personuppgiftsbiträdet ersätter underleverantörer. Den personuppgiftsansvarige kan då invända mot en ny underleverantör som behandlar deras personuppgifter på uppdrag av personuppgiftsbiträdet, men endast om underleverantören inte behandlar uppgifter i enlighet med relevant dataskyddslagstiftning. Personuppgiftsbiträdet kan uppvisa efterlevnad genom att ge personuppgiftsansvarig åtkomst till dataskyddsbedömningen som utförts av personuppgiftsbiträdet.

Om personuppgiftsansvarig trots detta invänder mot användningen av underleverantören kan de avsluta sitt abonnemang på tjänsterna utan den sedvanliga uppsägningstiden och säkerställa att deras personuppgifter inte behandlas av den underleverantör som de inte godkänt.

Avtalets löptid

Avtalet ska förbli giltigt så länge personuppgiftsbiträdet behandlar personuppgifter baserat på personuppgiftsansvariges användning av serviceapplikationen, såvida avtalet inte ersätts av ett annat signerat dataskyddsavtal som anger att det har företräde framför detta avtal.

Uppsägning av avtalet

Om personuppgiftsansvarig beslutar att sluta använda tjänsten, oavsett om tjänsten sker via abonnemang eller ej, kan personuppgiftsansvarig även radera alla sina kontouppgifter. Vid dataradering som initierats av personuppgiftsansvarig raderar personuppgiftsbiträdet alla personuppgifter förutom de uppgifter som måste behållas enligt gällande rättsliga krav. I dessa fall behålls personuppgifterna i enlighet med SumUps tekniska och organisationsmässiga säkerhetsåtgärder.

Personuppgiftsansvarig kan hämta alla sina personuppgifter inom serviceapplikationen. Om personuppgiftsansvarig kräver hjälp med hämtning av personuppgifter ska kostnaden för detta fastställas i ett avtal mellan parterna. Kostnaden ska baseras på komplexiteten av den begärda processen och hur mycket tid som krävs för att uppfylla förfrågan i det önskade formatet.

Ändringar i avtalet

Ändringar av avtalet kan göras av personuppgiftsbiträdet i en separat bilaga till avtalet eller på annat synligt sätt för den personuppgiftsansvarige och kommuniceras till den personuppgiftsansvarige. Om några av avtalets bestämmelser bedöms vara ogiltiga påverkar detta inte återstående bestämmelser. Parterna ska ersätta ogiltiga bestämmelser med en lagbestämmelse som återspeglar syftet med den ogiltiga bestämmelsen.

Granskning

Den personuppgiftsansvarige har rätt att en gång per år inleda en översyn av personuppgiftsbiträdets skyldigheter enligt avtalet. Om personuppgiftsbiträdet är skyldig att göra det enligt tillämplig lagstiftning, kan revisioner upprepas en gång per år. Parterna beslutar tillsammans om en tredje part ska genomföra revisionen. Den personuppgiftsansvarige kan dock tillåta personuppgiftsbiträdet att få säkerhetsgranskningen av en neutral tredje part efter personuppgiftsbiträdets val, om det är en behandlingsmiljö där flera personuppgiftsansvariga uppgifter behandlas.

Om den föreslagna omfattningen av revisionen följer en ISAE-, ISO- eller liknande certifieringsrapport utförd av en kvalificerad tredjepartsrevisor inom de senaste tolv månaderna och personuppgiftsbiträdet bekräftar att det inte har skett några väsentliga förändringar i de åtgärder som granskas, kommer detta att uppfylla alla förfrågningar som mottagits inom denna tidsram. Granskningar får inte orsaka orimliga störningar av personuppgiftsbiträdets vanliga verksamhet. Personuppgiftsansvarig ansvarar för alla kostnader som deras begäran om granskning medför.

Ansvar och jurisdiktion

Ansvar för handlingar som härrör från brott mot bestämmelser i detta avtal regleras av bestämmelserna för ansvar och kompensation i användarvillkoren för fakturerings- och bokföringsvillkoren för SumUp. Detta gäller även för eventuella överträdelser som görs av personuppgiftsbiträdets underleverantörer. Detta avtal styrs av och tolkas enligt irländsk lag, och Irlands domstolar ska ha exklusiv behörighet att avgöra tvister som gäller avtalet.

Bilaga A – Kategorier av personlig information och vanliga behandlingskategorier

1. Kategorier av personuppgifter (listan är inte uttömmande)

  • Namn

  • Adress

  • Telefonnummer

  • E-postadress(er)

  • Adress(er)

  • Eventuella kontonummer och/eller bankuppgifter

2. Vanliga behandlingskategorier (ej en uttömmande lista)

  • Personuppgiftsansvarigs anställda

  • Den personuppgiftsansvariges kontakter (telefon/e-post/adresser/o.s.v.) Den personuppgiftsansvariges kunder Den personuppgiftsansvariges bankinformation

  • Deras kunders anställda

  • Deras kunders kontakter (telefonnummer/e-post/adresser etc.) Deras kunders kunder

  • Deras kunders kunders bankuppgifter