Este Acuerdo de Tratamiento de Datos ("DPA") forma parte de las disposiciones de los Términos Adicionales de Uso de Servicios de Comercio Electrónico de SumUp (el "Acuerdo", los "Términos Adicionales"), la Política de Privacidad y cualesquiera otros Términos y Condiciones aplicables de SumUp (en adelante, los "Términos", "Política de Privacidad") concluidos y acordados entre usted, en calidad de comerciante de SumUp ("usted", "Responsable del Tratamiento"), y SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublín 2, Irlanda D02 K580 ("SumUp", "nosotros", "Encargado del Tratamiento"), parte de SumUp S.A.R.L. Group Companies – SumUp Group, y está sujeto a tales disposiciones.
Cada una de las partes está de acuerdo y se asegurará de que los términos de este DPA sean también plenamente aplicables a sus afiliados que puedan estar involucrados en el procesamiento de datos personales para los Servicios definidos en los Términos Adicionales. Específicamente, SumUp se asegurará de que todos los subprocesadores operen dentro de los mismos términos de este DPA cuando procesen sus datos de clientes.
A los efectos del procesamiento de datos personales con arreglo a este DPA, SumUp utiliza como su subprocesador a una entidad que forma parte del Grupo SumUp - Shoplo spółka z ograniczoną odpowiedzialnością, con sede en Varsovia (Polonia) (00-189) en la calle Inflancka 4C, inscrita en el Registro Judicial Nacional de Polonia (KRS), número de registro: 417586, NIP: 5213630420 ("Shoplo").
Con el fin de proporcionarle los Servicios bajo los Términos Adicionales, SumUp procesa los datos de los clientes o visitantes de su sitio o servicios ("Sus Clientes", "Clientes"). El procesamiento de esos datos por parte de Sumup se denomina en adelante "procesamiento" (tal como se define ese término en el RGPD). El siguiente Acuerdo de Procesamiento de Datos establece las condiciones de dicho procesamiento por parte de SumUp.
Definiciones
Por "legislación de protección de datos aplicable" se entiende el Reglamento (UE) 2016/679 (el "Reglamento General de Protección de Datos", "RGPD", el "Reglamento"), así como el resto de la legislación vigente aplicable que regula el tratamiento de los datos personales, incluida, en su caso, la Directiva 2002/58/CE sobre la privacidad electrónica.
Los términos "controlador", "sujeto de datos", "datos personales", "proceso", "procesamiento" y "procesador" tienen los significados que se dan a estos términos en el RGPD.
"Contenido" significa su Contenido y cualquier contenido proporcionado a SumUp por sus Clientes, incluyendo, sin limitación, texto, fotografías, imágenes, audio, vídeo, código y cualquier otro material.
"Los datos de sus clientes" significa los datos personales en el contenido de sus clientes, tal como son procesados por SumUp, en su nombre, como parte de los Servicios. Los Datos de sus Clientes no incluyen datos personales cuando dichos datos son controlados por SumUp.
Todas las definiciones que se utilizan en el presente DPA pero que no tienen una definición explícita en esta sección tendrán el significado definido en los Términos Adicionales. Si no existe una definición específica en los Términos Adicionales o en los Términos, su significado será el que figura en el RGPD o en las demás normas aplicables si no se define en el Reglamento.
Aplicabilidad. Este DPA solo se aplica con respecto a los Datos de sus Clientes y solo si el RGPD es aplicable. Usted acepta que SumUp no es responsable de los datos personales que haya elegido procesar a través de servicios de terceros o fuera de los Servicios, incluyendo los sistemas de cualquier otro servicio de nube de terceros, de almacenamiento fuera de línea o en el propio sitio.
Detalles del procesamiento de datos
Tema en cuestión. El tema del procesamiento de datos de este DPA son los Datos de sus Clientes.
Duración. Entre usted y nosotros, la duración del procesamiento de datos en virtud de este DPA es determinada por usted y para el período seleccionado para el cual usted elige utilizar nuestros Servicios.
Propósito. La finalidad del tratamiento de datos en el marco de este DPA es la prestación de los Servicios iniciados por usted.
Naturaleza del Procesamiento. Los Servicios como se describen en los Términos Adicionales y según los inicie usted eventualmente.
Tipo de datos personales. Los Datos de sus Clientes relacionados con usted, sus Clientes u otras personas cuyos datos personales se incluyen en el Contenido que se procesa como parte de los Servicios de acuerdo con las instrucciones dadas. Estos datos incluyen, entre otros, los nombres de sus Clientes, la dirección de correo electrónico, el número de móvil/teléfono, la dirección física, los datos bancarios, el historial de transacciones y la dirección IP. Las categorías especiales de datos personales, incluidos los relativos a condenas penales y delitos, no se consideran procesados en el marco de los Servicios y quedan excluidos de los términos del presente DPA. Si tales datos se procesan mientras se utilizan nuestros Servicios, esto es sin el conocimiento de SumUp y usted debe eliminar dicha información inmediatamente después de identificar dicho procesamiento.
Categorías de Sujetos de Datos. Usted, sus Clientes, los clientes potenciales de sus clientes y cualquier otra persona cuyos datos personales se incluyan en el Contenido.
Derechos y Obligaciones
En la medida en que los Datos de Sus Clientes son procesados por SumUp en su nombre y este procesamiento está sujeto al Reglamento General de Protección de Datos (Reglamento (UE) 2016/679; el "RGPD"), usted reconoce y acepta que a los efectos de la prestación de los Servicios por parte de SumUp, usted es el Responsable del tratamiento de dichos datos personales, y al utilizar los Servicios de SumUp, ha encargado a SumUp el procesamiento de los Datos de Sus Clientes en su nombre, de conformidad con el presente DPA.
Puede revocar la aceptación de este DPA en cualquier momento, pero al hacerlo SumUp ya no podrá prestarle el Servicio.
Sumup en su capacidad de procesador de datos personales:
procesa los Datos de sus Clientes solo para los propósitos especificados en el DPA y de acuerdo con la ley aplicable y el DPA;
solo puede actuar y procesar los Datos de sus Clientes de acuerdo con sus instrucciones documentadas, a menos que sea requerido por la ley, orden judicial o medida legislativa, para actuar sin dicha instrucción. Su instrucción, en el momento de suscribir este DPA, es que SumUp solo puede procesar los Datos de sus Clientes con el fin de prestar los Servicios como se describe en el DPA y en los Términos Adicionales. Con sujeción a los términos de este DPA, y con el acuerdo mutuo de ambas partes, usted puede emitir instrucciones escritas adicionales de acuerdo con los términos de este DPA;
garantiza que las personas autorizadas a tratar datos personales han asumido la obligación de confidencialidad o están legalmente obligadas a mantenerla;
garantiza que el acceso a los datos personales se concede en función de la necesidad de conocer el funcionamiento de los Servicios en virtud de los Términos Adicionales;
es responsable de asegurar que los empleados/subcontratistas y/o cualquier agente que procese los datos de sus clientes solo procese los datos personales de acuerdo con sus instrucciones;
le informará inmediatamente en caso de que consideremos que algunas de sus instrucciones contradicen la legislación de protección de datos aplicable;
está obligado a proteger los datos de sus clientes bajo este DPA de cualquier destrucción, alteración, pérdida y cualquier otro procesamiento no autorizado. Para ello, SumUp toma las medidas de seguridad adecuadas de acuerdo con la legislación aplicable. Las medidas técnicas y organizativas aplicadas por SumUp dependen del avance técnico. Es posible que SumUp introduzca algunas medidas alternativas adecuadas. No es posible disminuir el nivel de las medidas de seguridad definidas cuando se introducen esas alternativas. SumUp le prestará asistencia con las medidas técnicas y organizativas que sean necesarias y, teniendo en cuenta la naturaleza del tratamiento y la categoría de la información de que dispone, le ayudará a garantizar el cumplimiento de sus obligaciones en virtud de la Legislación de Protección de Datos aplicable;
a petición suya, pone a disposición las certificaciones que demuestran el cumplimiento por parte de SumUp de sus obligaciones en virtud de este DPA y de la Legislación de Protección de Datos Aplicable; y/o pone a disposición la información necesaria para demostrar el cumplimiento de las obligaciones en virtud de este DPA y de la Legislación de Protección de Datos Aplicable. La información que ha de facilitar SumUp se limita a la exclusivamente necesaria, teniendo en cuenta la naturaleza de los Servicios y la información de que dispone SumUp, para ayudarle a cumplir sus obligaciones, especialmente en lo que respecta a los artículos 32 y 36 del RGPD (obligaciones relativas a la evaluación de los efectos de la protección de datos, la consulta previa y la garantía de la seguridad de los datos personales);
le ayudará, dentro de plazos razonables, con medidas apropiadas y, en la medida en que sea razonablemente posible (teniendo en cuenta la naturaleza del tratamiento), a cumplir los derechos de los interesados y todas las demás obligaciones pertinentes en virtud de la reglamentación de la privacidad de los datos, incluido el RGPD;
le avisará, si lo permite la ley aplicable, al recibir una consulta o queja de un individuo cuyos datos personales estén incluidos en su Contenido, o una demanda vinculante de un gobierno, aplicación de la ley, organismo regulador u otro organismo, con respecto a los Datos de sus Clientes que procesamos en su nombre y con sus instrucciones.
Usted en calidad de controlador de datos personales:
recogerá, utilizará y procesará los datos personales del Contenido de conformidad con toda la Legislación de Protección de Datos aplicable;
será el único responsable de la exactitud, calidad y procesamiento legal de los Datos de sus Clientes y los medios por los que se obtuvieron;
garantizará el nivel adecuado de seguridad al utilizar los Servicios, teniendo en cuenta cualquier riesgo con respecto a los Datos de sus Clientes;
acepta que cualquier almacenamiento y/o transferencia que haga de los Datos de sus Clientes a cualquier tercero o plataforma, que no sea SumUp, será a su exclusivo riesgo y responsabilidad;
se asegurará de que sus instrucciones con respecto al procesamiento de datos personales cumplan con todas las leyes, reglamentos y normas aplicables en relación con los Datos de sus Clientes. También se asegurará de que el procesamiento de los Datos de sus Clientes de acuerdo con sus instrucciones no causará ni resultará en que nosotros o usted incumplamos ninguna ley, regla o regulación (incluyendo el RGPD).
Notificaciones de incumplimiento. La parte informará inmediatamente a la otra parte (pero no más tarde de 48 horas) cuando tenga conocimiento de un incumplimiento en relación con los datos personales procesados en virtud del presente DPA. SumUp le ayudará a cumplir con sus obligaciones de notificación en virtud de los artículos 33 y 34 del RGPD, le facilitará la información sobre el incumplimiento que podamos revelarle de forma razonable, teniendo en cuenta la naturaleza de los Servicios, la información de que disponemos y las restricciones a la divulgación de la información, por ejemplo, por motivos de confidencialidad. A pesar de lo anterior, las obligaciones de SumUp en virtud de esta sección no se aplican a los incidentes causados por usted, cualquier actividad en su cuenta y/o servicios de terceros. SumUp está obligado a cooperar y apoyarle en la investigación, la minimización de las consecuencias negativas y la rectificación de la vulneración de los datos personales, así como en la prevención de futuras vulneraciones de datos similares.
La notificación de SumUp de una vulneración de los datos personales no se considerará como un reconocimiento por parte de SumUp de ninguna falta o responsabilidad con respecto a dicho incidente. En el caso de una vulneración de los datos personales, usted estará obligado a tomar las medidas requeridas por las leyes aplicables en relación con los Datos de sus Clientes.
Subprocesadores. Por la presente, concede a SumUp autorización general para contratar subprocesadores con el fin de prestar los Servicios sin obtener ninguna otra autorización específica por escrito. SumUp firmará un acuerdo con cada subprocesador asegurando el cumplimiento por parte de dicho subprocesador de los términos que aseguren al menos el mismo nivel de protección y seguridad que los establecidos en este DPA. Si usted se opone a cualquier subprocesador y su objeción es razonable y está relacionada con cuestiones de protección de datos, haremos esfuerzos comercialmente razonables para poner a su disposición un medio de evitar el procesamiento de los Datos de sus Clientes por el subprocesador objetado. Si no podemos hacer disponibles tales cambios sugeridos dentro de un período de tiempo razonable, se lo notificaremos y si aún se opone a nuestro uso de tal subprocesador, puede cancelar o terminar su cuenta o, si es posible, las partes de los Servicios que implican el uso de tal subprocesador.
Transferencia de Datos Personales. El Procesamiento de los Datos de sus Clientes tendrá lugar en el territorio del Espacio Económico Europeo ("EEE"). Cualquier transferencia a un tercer país fuera de la UE/EEE y su procesamiento en el mismo que no garantice un nivel de protección adecuado según la Comisión Europea, se realizará de conformidad con las cláusulas contractuales tipo (2010/87/UE) u otro mecanismo apropiado que garantice un nivel adecuado de seguridad de los datos personales de acuerdo con los requisitos del capítulo V del RGPD.
Auditorías Tiene derecho a iniciar una revisión de las obligaciones de SumUp en virtud de este DPA una vez al año. Si SumUp está obligado a hacerlo en virtud de la legislación aplicable, las auditorías podrán repetirse una vez al año. Ambas partes deciden conjuntamente si un tercero debe realizar la auditoría. Sin embargo, puede permitirnos que la revisión de seguridad la realice un tercero neutral de nuestra elección, si se trata de un entorno de procesamiento en el que se procesan los datos de múltiples controladores de datos. Si el alcance propuesto de la auditoría se basa en un informe de certificación de la ISO o similar realizado por un auditor tercero cualificado en los doce meses anteriores, y SumUp confirma que no ha habido cambios importantes en las medidas que se están examinando, se satisfarán todas las solicitudes recibidas dentro de ese plazo. Las auditorías no pueden interferir irrazonablemente con las actividades habituales de SumUp. Usted es responsable de todos los gastos relacionados con su solicitud de auditoría.
Responsabilidad. La responsabilidad de cada una de las partes en virtud de este DPA está sujeta a las exclusiones y limitaciones de responsabilidad establecidas en los Términos y/o Términos Adicionales. Usted acepta que cualquier sanción regulatoria o reclamación de los sujetos de datos, u otros, en la que SumUp incurra en relación con los Datos de sus Clientes que surjan como resultado de, o en relación con, su incumplimiento de sus obligaciones en virtud de este DPA o la Ley de Protección de Datos aplicable, reducirá la responsabilidad total máxima de SumUp ante usted en virtud de los Términos Adicionales y/o los Términos en la misma cantidad que la multa y/o la responsabilidad incurrida por nosotros como resultado.
Terminación. Esta DPA estará en vigor mientras usted use cualquiera de los Servicios de SumUp. Sin embargo, si SumUp está obligado, de acuerdo con los términos de este DPA o cualquiera de los Términos y Condiciones de SumUp, a conservar los datos personales de sus Clientes después de la terminación de los Servicios, este DPA seguirá en vigor durante todo el tiempo que SumUp esté obligado a conservar dichos datos personales.
Tras la finalización del uso de los Servicios, y a menos que SumUp esté obligado a conservar los Datos de sus Clientes en virtud de los Términos y/o Términos Adicionales de SumUp, cualquier acuerdo o leyes aplicables, SumUp deberá, incluyendo a petición escrita de usted, eliminar los Datos de sus Clientes tan pronto como sea razonablemente posible y de acuerdo con los Términos de SumUp y las leyes aplicables.
Varios.
En caso de contradicción entre este DPA y cualquiera de los Términos y/o Términos Adicionales de SumUp, prevalecerán las disposiciones de este DPA.
Usted es responsable de cualquier coste y gasto derivado del cumplimiento por parte de SumUp de sus instrucciones o solicitudes de conformidad con los Términos Adicionales (incluyendo este DPA) que queden fuera de la funcionalidad estándar facilitada por SumUp generalmente a través de los Servicios.
SumUp tendrá derecho a modificar y/o ajustar cualquiera de los términos de este DPA según sea necesario en cada momento. Los cambios en el Acuerdo pueden hacerse por medio de Sumup en un Anexo separado o en otro medio visible y se comunicarán adecuadamente.
Cualquier pregunta relativa a este DPA o a otras solicitudes relacionadas con el procesamiento de datos personales debe dirigirse a dpo@sumup.com. SumUp intentará resolver cualquier queja relacionada con el uso de los Datos de sus Clientes conforme a este DPA, los Términos y las políticas internas de SumUp.
Si alguna de las disposiciones del DPA se considera no válida, ello no afecta a las demás disposiciones. Las partes sustituirán las disposiciones no válidas por una disposición legal que refleje el propósito de la disposición no válida.
El presente Acuerdo se regirá e interpretará de acuerdo con la legislación irlandesa. Cualquier conflicto que surja o esté relacionado con este Acuerdo será finalmente remitido y resuelto por los tribunales de Irlanda, excepto donde lo prohíba la ley de la UE.