Accordo sul trattamento dei dati

Effettivo a partire dal 09/04/2020

Ultimo aggiornamento 14/12/2020

Il presente Accordo sul trattamento dei dati (Data Processing Agreement, "DPA") fa parte ed è soggetto alle Condizioni d'uso aggiuntive per i servizi di e-commerce ("Accordo", "Condizioni d'uso aggiuntive"), all'Informativa sulla privacy e ad eventuali altri termini e condizioni applicabili di SumUp (di seguito "Condizioni", "Informativa sulla privacy") stipulati e concordati da e tra l'utente in quanto commerciante di SumUp ("Utente", "Titolare del trattamento") e SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Ireland D02 K580, ("SumUp", "noi" "responsabile del trattamento dei dati"), facente parte del gruppo SumUp S.A.R.L. – Gruppo SumUp.

Ciascuna parte conviene e garantisce che le condizioni del presente DPA saranno pienamente applicabili anche agli affiliati che potrebbero essere coinvolti nel trattamento dei dati personali per i Servizi definiti nelle Condizioni aggiuntive. Nello specifico, SumUp garantirà che tutti i sub-responsabili operino entro gli stessi termini del presente DPA durante il trattamento dei Dati dei clienti dell'Utente.

Ai fini del trattamento dei dati personali nell'ambito del presente DPA, SumUp si avvale di un'entità, in qualità di sub-responsabile, facente parte del Gruppo SumUp, denominata Shoplo spółka z ograniczoną odpowiedzialnością, con sede a Varsavia, Polonia (00-189) alla via Inflancka 4C, iscritta nel Registro giudiziario nazionale (KRS) polacco, con numero di iscrizione 417586, NIP 5213630420 (“Shoplo”).

Al fine di fornire all'utente i Servizi previsti nelle Condizioni aggiuntive, SumUp elabora i dati dei clienti o dei visitatori del sito o dei servizi dell'utente ("Clienti Utente", "Clienti"). Nel prosieguo, l'elaborazione di tali dati da parte di SumUp è denominata "trattamento" (secondo la definizione del termine ai sensi del GDPR). L'Accordo sul trattamento dei dati enuncia di seguito i termini riferiti a tale trattamento da parte di SumUp.

  1. Definizioni

    1. La "Normativa in materia di protezione dei dati personali" indica il Regolamento (UE) 2016/679 ("Regolamento generale sulla protezione dei dati", "GDPR", "Regolamento"), nonché tutta l'ulteriore legislazione applicabile in vigore che regola il trattamento dei dati personali, ivi compresa la Direttiva 2002/58/CE sulla e-privacy.

    2. I termini "titolare del trattamento", "interessato", "dati personali", "trattare", "trattamento" e "responsabile del trattamento" assumono i significati loro attribuiti nel GDPR.

    3. "Contenuto" indica i Contenuti dell'utente e qualsiasi contenuto fornito a SumUp dai clienti dell'utente, ivi compresi, a titolo esemplificativo, testo, foto, immagini, audio, video, codice e qualsiasi altro materiale.

    4. I "Dati dei clienti dell'utente" indicano i dati personali all'interno dei Contenuti del/dei Clienti dell'Utente, per conto del quale vengono elaborati da SumUp, in quanto facenti parte dei Servizi. I Dati dei clienti dell'utente non includono i dati personali, laddove detti dati siano controllati da SumUp.

      Tutte le definizioni adottate nel presente DPA, ma che non abbiano una descrizione esplicita in questa sezione, avranno il significato enunciato nelle Condizioni aggiuntive. Se non esiste alcuna definizione specifica nei Termini o nelle Condizioni aggiuntive, il loro significato sarà quello fornito nel GDPR o nelle altre norme applicabili, laddove non definite nel Regolamento.

  2. Applicabilità. Il presente DPA trova applicazione esclusivamente con riferimento ai Dati dei clienti dell'utente e soltanto se il GDPR è applicabile. Si conviene che SumUp non è responsabile dei dati personali che l'utente ha scelto di elaborare attraverso servizi di terze parti o al di fuori dei Servizi, compresi i sistemi di servizi cloud di altre terze parti, nonché l'archiviazione offline o in sede.

  3. Dettagli sul Trattamento dei dati

    1. Oggetto. Costituiscono oggetto di trattamento, nell'ambito del presente DPA, i Dati dei clienti dell'utente.

    2. Durata. Come stabilito tra noi e l'utente, la durata del trattamento dei dati nell'ambito del presente DPA è determinata dall'utente ed è relativa al periodo scelto per l'utilizzo dei nostri Servizi.

    3. Scopo. Lo scopo del trattamento dei dati nell'ambito del presente DPA è la fornitura dei Servizi avviati dall'utente.

    4. Natura del trattamento. I Servizi così come descritti nelle Condizioni aggiuntive e così come avviati di volta in volta dall'utente.

    5. Tipo di Dati personali. I Dati dei clienti riguardanti l'utente, i suoi Clienti o altri soggetti i cui dati personali siano inclusi nei Contenuti elaborati in quanto facenti parte dei Servizi, in conformità con le istruzioni fornite. Questi dati includono, a titolo esemplificativo ma non esaustivo, i nomi dei clienti dell'utente, l'indirizzo di posta elettronica, il numero di telefono/cellulare, l'indirizzo fisico, le coordinate bancarie, la cronologia delle transazioni, l'indirizzo IP. Le categorie speciali di dati personali, compresi quelli relativi ai reati e alle condanne penali, non sono ritenute passibili di trattamento nell'ambito dei Servizi, pertanto sono escluse dai termini del presente DPA. Qualora tali dati fossero elaborati durante l'utilizzo dei nostri Servizi, ciò avverrebbe all'insaputa di SumUp e l'utente è tenuto a eliminare dette informazioni immediatamente dopo aver identificato tale trattamento.

    6. Categorie di Interessati. L'Utente, i suoi Clienti, i potenziali clienti dei suoi clienti e qualsiasi altro soggetto i cui dati personali sono inclusi nei Contenuti.

  4. Diritti e obblighi

    1. Nella misura in cui i Dati dei clienti dell'utente siano elaborati per suo conto da SumUp e questo trattamento sia soggetto al Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679; il "GDPR"), l'utente riconosce e accetta, ai fini della fornitura dei Servizi da parte di SumUp, di essere il titolare del trattamento di detti dati personali e, utilizzando i Servizi di SumUp, di aver incaricato SumUp di elaborare i Dati dei clienti per suo conto, conformemente al presente DPA.

    2. L'utente può revocare in qualsiasi momento l'accettazione del presente DPA, ma in questo modo SumUp non sarà più in grado di fornirgli il Servizio.

    3. Nella sua qualità di responsabile del trattamento dei dati, SumUp:

      1. a.

        elabora i Dati dei clienti dell'utente solo per gli scopi specificati nel DPA e in conformità con la legge applicabile e con il DPA;

      2. b.

        può operare ed elaborare i Dati dei clienti dell'utente soltanto in conformità con le istruzioni documentate di quest'ultimo, salvo che non ne sia esonerato per legge, per provvedimento giudiziario o per disposizione legislativa. Le istruzioni dell'utente, al momento della stipulazione del presente DPA, prevedono che SumUp possa elaborare i Dati dei clienti dell'utente soltanto allo scopo di fornire i Servizi così come descritti nel DPA e nelle Condizioni aggiuntive. Fatti salvi i termini del presente DPA, e con l'accordo reciproco di entrambe le parti, l'utente può emettere ulteriori istruzioni scritte, coerenti con le condizioni del presente DPA;

      3. c.

        garantisce che i soggetti autorizzati al trattamento dei dati personali si siano assunti l'obbligo di riservatezza o siano legalmente tenuti a mantenere gli obblighi di riservatezza;

      4. d.

        garantisce che l'accesso ai dati personali sia concesso in base alla necessità di essere a conoscenza della prestazione dei Servizi, nell'ambito delle Condizioni aggiuntive;

      5. e.

        ha la responsabilità di garantire che i dipendenti/subappaltatori e/o eventuali agenti che elaborano i Dati dei clienti dell'utente possano trattare i dati personali soltanto in conformità con le istruzioni dell'utente;

      6. f.

        informerà immediatamente l'utente, nel caso in cui riteniamo che alcune sue istruzioni siano in contrasto con la Normativa in materia di protezione dei dati personali;

      7. g.

        si obbliga, nell'ambito del presente DPA, a proteggere i Dati dei clienti dell'utente da qualsiasi distruzione, alterazione, perdita o da qualsiasi altro trattamento non autorizzato. A tal fine, SumUp adotta adeguate misure di sicurezza, in conformità con la legge applicabile. Le misure tecniche e organizzative intraprese da SumUp dipendono dal progresso tecnico. È possibile che SumUp possa introdurre alcune misure alternative adeguate. Non è possibile ridurre il livello delle misure di sicurezza definite quando si introducono tali alternative. SumUp assisterà l'utente con idonee misure tecniche e organizzative secondo necessità e, in considerazione della natura del trattamento e della categoria di informazioni a sua disposizione, farà in modo di garantire il rispetto degli obblighi dell'utente, ai sensi della Normativa in materia di protezione dei dati personali;

      8. h.

        su ragionevole richiesta dell'utente, rende disponibili le certificazioni che dimostrano la conformità di SumUp con gli obblighi previsti dal presente DPA e dalla Normativa in materia di protezione dei dati personali; e/o rende disponibili le informazioni necessarie a dimostrare la conformità con gli obblighi previsti dal presente DPA e dalla Normativa in materia di protezione dei dati personali. Le informazioni che SumUp può rendere disponibili, tenendo conto della natura dei Servizi e delle informazioni a sua disposizione, devono limitarsi esclusivamente a quelle necessarie ad assistere l'utente nell'adempimento dei propri obblighi, in particolare con riferimento agli artt. 32 e 36 del GDPR (obblighi in materia di valutazioni d'impatto sulla protezione dei dati, consultazione preventiva e garanzia della sicurezza dei dati personali);

      9. i.

        assisterà l'utente, entro tempi ragionevoli, con misure adeguate e, per quanto ragionevolmente possibile (considerata la natura del trattamento), nel rispetto dei diritti dell'interessato e di tutti gli altri obblighi pertinenti, ai sensi dei regolamenti sulla privacy dei dati, incluso il GDPR;

      10. j.

        informerà l'utente, se consentito dalla legge applicabile, non appena dovesse ricevere una richiesta o un reclamo da parte di un soggetto i cui dati siano inclusi nei suoi Contenuti, o una richiesta vincolante da parte di un ente governativo, di un corpo delle forze dell'ordine, di un'autorità di regolamentazione o altro, in relazione ai Dati dei clienti dell'utente che trattiamo per suo conto e su sue istruzioni.

    4. Nella sua qualità di titolare del trattamento dei dati, l'Utente:

      1. a.

        potrà raccogliere, utilizzare ed elaborare i dati personali dei Contenuti in conformità con qualsiasi Normativa in materia di protezione dei dati personali;

      2. b.

        ha la responsabilità esclusiva dell'accuratezza, della qualità e della liceità del trattamento dei Dati dei propri clienti, nonché dei mezzi con cui sono stati ottenuti;

      3. c.

        assicura il livello adeguato di sicurezza durante l'utilizzo dei Servizi, tenendo in considerazione eventuali rischi in relazione ai Dati dei propri clienti;

      4. d.

        riconosce che qualsiasi archiviazione e/o trasferimento dei Dati dei propri clienti verso terze parti o piattaforme, diverse da SumUp, avviene a suo esclusivo rischio e responsabilità;

      5. e.

        si assicura che le istruzioni relative al trattamento dei dati personali, riguardanti i Dati dei propri clienti, siano conformi a tutte le leggi, i regolamenti e le norme applicabili. Si assicurerà inoltre che il trattamento dei Dati dei propri clienti, in conformità con le proprie istruzioni, non causi o provochi, da parta nostra o sua, alcuna violazione di qualsiasi legge, norma o regolamento (incluso il GDPR).

  5. Notifica di violazioni. La parte deve immediatamente informare l'altra parte (entro e non oltre 48 ore) non appena viene a conoscenza di una violazione riguardante i dati personali elaborati nell'ambito del presente DPA. SumUp assisterà l'utente nell'adempiere ai suoi obblighi di notifica, ai sensi degli articoli 33 e 34 del GDPR, gli fornirà informazioni su tale violazione, per quanto sia ragionevolmente possibile divulgare, tenendo conto della natura dei Servizi, delle informazioni a nostra disposizione e di qualsiasi limitazione alla divulgazione delle informazioni, quale ad esempio la riservatezza. Nonostante quanto sopra, gli obblighi di SumUp nell'ambito di questa sezione non si applicano agli incidenti causati dall'utente, da qualsiasi attività sul suo account e/o dai servizi di terze parti. SumUp si obbliga a collaborare e supportare l'utente con riguardo alle indagini, alla massima riduzione delle conseguenze negative e alla rettifica della violazione dei dati personali, nonché alla prevenzione di simili violazioni future di dati.

    La notifica da parte di SumUp di una violazione dei dati personali non sarà considerata come riconoscimento di eventuali errori o responsabilità in relazione a tale incidente. In caso di violazione dei dati personali, l'utente è tenuto ad adottare le misure richieste dalle leggi applicabili in relazione ai Dati dei propri clienti.

  6. Sub-responsabili del trattamento. Con il presente, l'utente concede a SumUp l'autorizzazione generale ad avvalersi di sub-responsabili al fine di fornire i Servizi senza ottenere ulteriori autorizzazioni specifiche scritte. SumUp darà esecuzione a un accordo con ciascun sub-responsabile, garantendone la conformità con condizioni che assicurino almeno lo stesso livello di protezione e sicurezza di quelli stabiliti nel presente DPA. Se l'utente ha qualcosa da obiettare a un sub-responsabile e la sua obiezione è ragionevole e correlata a problemi di protezione dei dati, ci adopereremo con ogni sforzo commercialmente ragionevole per mettere a sua disposizione mezzi utili per evitare il trattamento dei Dati dei suoi clienti da parte del sub-responsabile contestato. Se non saremo in grado di rendere disponibili le modifiche suggerite entro un lasso di tempo ragionevole, ne daremo comunicazione all'utente e se questi continuerà a opporsi al nostro ricorso a detto sub-responsabile, l'utente può cancellare o chiudere il proprio account o, se possibile, le parti dei Servizi che prevedono l'uso di tale sub-responsabile.

  7. Trasferimento di dati personali. Il trattamento dei Dati dei clienti dell'utente avverrà all'interno del territorio dello Spazio economico europeo ("SEE"). Qualsiasi trasferimento e trattamento in un paese terzo al di fuori dell'UE/SEE, che secondo la Commissione europea non garantisca un livello adeguato di protezione, deve essere effettuato conformemente con le Clausole contrattuali standard (2010/87/UE) o con altro idoneo meccanismo, garantendo un adeguato livello di sicurezza dei dati personali, secondo le disposizioni del Capo V del GDPR.

  8. Verifiche. L'utente ha il diritto di avviare una revisione degli obblighi di SumUp nell'ambito del presente DPA una volta all'anno. Se SumUp è tenuta a effettuarle, ai sensi della legislazione applicabile, le verifiche possono essere ripetute una volta all'anno. Entrambe le parti decidono insieme se la verifica debba essere condotta da una terza parte. Tuttavia, l'utente può consentirci di far eseguire la revisione della sicurezza da una terza parte neutrale a nostra scelta, laddove si tratti di un ambiente di elaborazione in cui vengono trattati più dati del titolare del trattamento. Se l'ambito proposto della verifica segue un rapporto di certificazione ISO o similare, condotto da un revisore qualificato di terze parti nei dodici mesi precedenti, e SumUp conferma che non sono state apportate modifiche sostanziali alle misure in esame, ciò soddisferà qualsiasi richiesta ricevuta entro tale termine. Le verifiche possono non interferire irragionevolmente con la consueta attività di business di SumUp. Saranno a carico dell'utente tutti i costi associati alla sua richiesta di revisione della verifica.

  9. Responsabilità. La responsabilità di ciascuna parte, nell'ambito del presente DPA, è soggetta alle esclusioni e alle limitazioni di responsabilità stabilite nelle Condizioni e/o delle Condizioni aggiuntive. L'utente conviene che qualsiasi sanzione o pretesa regolamentare da parte degli interessati, o di altri, sostenuta da SumUp in relazione ai Dati dei clienti dell'utente, che derivi o sia connessa al mancato rispetto dell'utente ad adempiere ai propri obblighi nell'ambito del presente DPA o della Normativa in materia di protezione dei dati personali, ridurrà la responsabilità massima complessiva, ai sensi delle Condizioni e/o delle Condizioni aggiuntive, in pari misura dell'ammenda e/o della responsabilità da noi sostenuta di conseguenza.

  10. Risoluzione. Il presente DPA rimarrà in vigore per tutto il tempo in cui verranno utilizzati i Servizi di SumUp. Tuttavia, se SumUp, in base ai termini del presente DPA o di uno qualsiasi dei Termini e delle Condizioni di SumUp, è obbligato a conservare i dati personali dei clienti dell'utente a seguito della cessazione dei Servizi, il presente DPA continuerà a rimanere in vigore per tutto il tempo in cui SumUp è tenuto a conservare tali dati personali.

    Al termine dell'utilizzo dei Servizi, e salvo che SumUp non sia tenuto a conservare i Dati dei clienti dell'utente nel rispetto delle proprie Condizioni e/o delle Condizioni aggiuntive, di qualsiasi accordo o legge applicabile, SumUp dovrà, anche su richiesta scritta dell'utente, eliminare i Dati dei clienti dell'utente non appena sia ragionevolmente fattibile, in conformità con le Condizioni di SumUp e le leggi applicabili.

  11. Varie.

    1. In caso di contraddizione tra il presente DPA e una qualsiasi delle Condizioni e/o delle Condizioni aggiuntive di SumUp, prevarranno le disposizioni del presente DPA.

    2. L'utente si accollerà eventuali costi e spese derivanti dall'adesione, da parte di SumUp, alle istruzioni o alle richieste dell'utente nell'ambito delle Condizioni aggiuntive (compreso il presente DPA) che non rientrino nelle funzionalità standard messe generalmente a disposizione da SumUp tramite i Servizi.

    3. SumUp avrà il diritto di emendare e/o modificare uno qualsiasi dei termini del presente DPA, secondo quanto periodicamente previsto. Le modifiche all'Accordo potrebbero essere apportate da SumUp in un allegato separato o in altro modo visibile e saranno comunicate nelle dovute modalità.

    4. Eventuali domande riguardanti il presente DPA o altre richieste relative al trattamento dei dati personali devono essere indirizzate alla nostra attenzione tramite dpo@sumup.com. SumUp tenterà di risolvere eventuali reclami riguardanti l'utilizzo dei Dati dei clienti dell'utente in conformità con il presente DPA, con le Condizioni e le politiche interne di SumUp.

    5. Qualora una delle disposizioni del DPA fosse ritenuta non valida, ciò non pregiudica le restanti disposizioni. Le parti sostituiranno le disposizioni non valide con una legittima che rifletta lo scopo di quella non valida.

    6. Il presente Accordo è disciplinato e interpretato in conformità e ai sensi del diritto irlandese. Qualsiasi controversia, derivante o in connessione al presente Accordo, andrà sottoposta e risolta dai tribunali irlandesi, salvo laddove proibito dalla legge UE.