Verwerkersovereenkomst

Met ingang van 09-04-2020

Laatst bijgewerkt op 14-12-2020

Deze overeenkomst inzake gegevensverwerking ("DPA") maakt deel uit van, en is onderhevig aan, de bepalingen van aanvullende gebruiksvoorwaarden voor e-commercediensten (de "overeenkomst", de "Aanvullende voorwaarden"), het privacybeleid en alle andere geldende algemene voorwaarden van SumUp (verder de "Voorwaarden", het "Privacybeleid") die zijn afgesloten en overeengekomen door en tussen u als SumUp-verkoper ("u") en SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Ierland D02 K580 ("SumUp", "wij", "gegevensverwerker"), als onderdeel van de SumUp S.A.R.L.-bedrijfsgroep – SumUp-groep.

Elke partij stemt ermee in en zal ervoor zorgen dat de voorwaarden van deze Verwerkersovereenkomst ook volledig van toepassing zijn op haar gelieerde ondernemingen die mogelijk betrokken zijn bij de verwerking van persoonsgegevens voor de Diensten die zijn gedefinieerd in de Aanvullende voorwaarden. SumUp zorgt er met name voor dat alle subverwerkers binnen dezelfde voorwaarden als deze Verwerkersovereenkomst werken bij het verwerken van Uw klantgegevens.

Voor de verwerking van persoonsgegevens onder deze Verwerkersovereenkomst gebruikt SumUp als subverwerker een entiteit, onderdeel van SumUp Group - Shoplo spółka z ograniczoną odpowiedzialnością, gevestigd in Warschau, Polen (00-189) in Inflancka-straat 4C, geregistreerd in het Poolse nationale gerechtelijke register (KRS), registratienummer: 417586, NIP: 5213630420 ("Shoplo").

Om U de Diensten onder de Aanvullende voorwaarden te kunnen leveren, verwerkt SumUp gegevens van klanten of bezoekers van Uw site of diensten ("Uw klanten", "Klanten"). De verwerking van deze gegevens door SumUp wordt hierna "verwerking" genoemd (zoals gedefinieerd in de AVG). In de volgende Verwerkersovereenkomst worden de voorwaarden van een dergelijke verwerking door SumUp uiteengezet.

  1. Definities

    1. "Toepasselijke wetgeving inzake gegevensbescherming" betekent Verordening (EU) 2016/679 (de "Algemene Verordening Gegevensbescherming", "AVG", de "Verordening"), evenals alle andere toepasselijke wetgeving die van kracht is met betrekking tot de verwerking van persoonsgegevens, inclusief en indien van toepassing e-Privacyrichtlijn 2002/58/EG.

    2. De termen "beheerder", "gegevenssubject", "persoonsgegevens", "proces", "verwerking" en "verwerker" hebben de betekenis die aan deze termen wordt gegeven in de AVG.

    3. "Content" betekent Uw content en alle content die door Uw klanten aan SumUp wordt geleverd, inclusief maar niet beperkt tot tekst, foto's, afbeeldingen, audio, video, codes en ander materiaal.

    4. "Gegevens van uw klanten" betekent de persoonsgegevens in de content van Uw klant(en) zoals namens U door SumUp verwerkt als onderdeel van de Diensten. De Gegevens van uw klanten bevatten geen persoonsgegevens wanneer dergelijke gegevens worden beheerd door SumUp.

      Alle definities die in deze Verwerkersovereenkomst worden gebruikt, maar die geen expliciete definitie hebben in deze sectie, hebben de betekenis zoals gedefinieerd in de Aanvullende voorwaarden. Als er geen specifieke definitie is in de Aanvullende voorwaarden of de Voorwaarden, zal hun betekenis die gegeven is in de AVG of in de andere toepasselijke regels van toepassing zijn, indien niet gedefinieerd in de Verordening.

  2. Toepasselijkheid. Deze Verwerkersovereenkomst is alleen van toepassing met betrekking tot de Gegevens van uw klanten en alleen als de AVG van toepassing is. U gaat ermee akkoord dat SumUp niet verantwoordelijk is voor persoonsgegevens die u laat verwerken via diensten van derden of buiten de Diensten, inclusief de systemen van andere clouddiensten van derden, offline of on-site opslag.

  3. Details van gegevensverwerking.

    1. Onderwerp. Het onderwerp van de gegevensverwerking onder deze Verwerkersovereenkomst zijn de Gegevens van uw klanten.

    2. Duur. Wat de Overeenkomst tussen U en ons betreft, wordt de duur van de gegevensverwerking onder deze Verwerkersovereenkomst door U bepaald en voor de geselecteerde periode waarvoor U ervoor kiest om onze Diensten te gebruiken.

    3. Doel. Het doel van de gegevensverwerking onder deze Verwerkersovereenkomst is het leveren van de door U geïnitieerde diensten.

    4. Aard van de verwerking. De Diensten zoals beschreven in de Aanvullende voorwaarden en zoals van tijd tot tijd door U geïnitieerd.

    5. Type persoonsgegevens. De Gegevens van uw klanten met betrekking tot U, Uw klanten of andere personen wier persoonsgegevens zijn opgenomen in de Content die wordt verwerkt als onderdeel van de Diensten in overeenstemming met de gegeven instructies. Deze gegevens omvatten, maar zijn niet beperkt tot, de naam, e-mailadres, (mobiel) telefoonnummer, fysiek adres, bankgegevens, transactiegeschiedenis, IP-adres van Uw klanten. Speciale categorieën persoonsgegevens, waaronder gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, worden niet geacht te worden verwerkt onder de Diensten, deze zijn uitgesloten van de Voorwaarden van deze Verwerkersovereenkomst. Als deze gegevens worden verwerkt bij het gebruik van onze Diensten, is dit zonder medeweten van SumUp en moet U dergelijke informatie onmiddellijk verwijderen nadat U een dergelijke verwerking heeft geïdentificeerd.

    6. Categorieën van gegevenssubjecten. U, Uw klanten, de potentiële klanten van Uw klanten en alle andere personen wier persoonsgegevens zijn opgenomen in de content.

  4. Rechten en plichten.

    1. Voor zover de gegevens van Uw klanten namens U door SumUp worden verwerkt en deze verwerking onderhevig is aan de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679; de "AVG"), erkent U en gaat U ermee akkoord dat voor de verlening van de Diensten door SumUp U de gegevensbeheerder bent van dergelijke persoonsgegevens en door SumUp's Diensten te gebruiken, heeft U SumUp geïnstrueerd om de Gegevens van uw klanten namens U te verwerken, overeenkomstig deze Verwerkersovereenkomst.

    2. U kunt de aanvaarding van deze Verwerkersovereenkomst op elk moment intrekken, maar hierdoor kan SumUp U de Diensten niet langer leveren.

    3. SumUp, in hoedanigheid van verwerker van persoonsgegevens:

      1. a.

        verwerkt de Gegevens van uw klanten alleen voor de doeleinden die zijn gespecificeerd in de Verwerkersovereenkomst en in overeenstemming met de toepasselijke wetgeving en de Verwerkersovereenkomst;

      2. b.

        mag de Gegevens van uw klanten alleen verwerken in overeenstemming met Uw gedocumenteerde instructies, tenzij wettelijk vereist wordt, via een gerechtelijk bevel of wetgevende maatregel, om zonder een dergelijke instructie te handelen. Uw instructies, op het moment dat U deze Verwerkersovereenkomst aangaat, is dat SumUp de Gegevens van uw klanten alleen mag verwerken voor het leveren van de Diensten zoals beschreven in de Verwerkersovereenkomst en de Aanvullende voorwaarden. Onderhevig aan de voorwaarden van deze Verwerkersovereenkomst en met wederzijdse instemming van beide partijen, mag U aanvullende schriftelijke instructies geven in overeenstemming met de Voorwaarden van deze Verwerkersovereenkomst;

      3. c.

        garandeert dat de personen die gemachtigd zijn om persoonsgegevens te verwerken de vertrouwelijkheidsverplichting zijn aangegaan of wettelijk verplicht zijn tot geheimhouding;

      4. d.

        garandeert dat de toegang tot de persoonsgegevens wordt verleend op een 'need to know'-basis met betrekking tot de uitvoering van de Diensten onder de Aanvullende voorwaarden;

      5. e.

        is ervoor verantwoordelijk dat werknemers/onderaannemers en/of medewerkers die de Gegevens van uw klanten verwerken, de persoonsgegevens alleen verwerken in overeenstemming met Uw instructies;

      6. f.

        zal U onmiddellijk informeren indien Wij van mening zijn dat sommige van Uw instructies in strijd zijn met de toepasselijke wetgeving inzake gegevensbescherming;

      7. g.

        is verplicht om de Gegevens van uw klanten onder deze Verwerkersovereenkomst te beschermen tegen vernietiging, wijziging, verlies en andere ongeoorloofde verwerking. Daartoe neemt SumUp passende beveiligingsmaatregelen in overeenstemming met de toepasselijke wetgeving. De door SumUp toegepaste technische en organisatorische maatregelen zijn afhankelijk van de technische vooruitgang. Het is mogelijk dat SumUp een aantal alternatieve geschikte maatregelen introduceert. Het is niet mogelijk om het niveau van de gedefinieerde beveiligingsmaatregelen te verlagen wanneer dergelijke alternatieven worden geïntroduceerd. SumUp zal U bijstaan met passende technische en organisatorische maatregelen zoals vereist en, afhankelijk van de aard van de behandeling en de categorie informatie waarover SumUp beschikt, U helpen om ervoor te zorgen dat Uw verplichtingen onder de toepasselijke wetgeving inzake gegevensbescherming worden nageleefd;

      8. h.

        maakt op Uw redelijke verzoek certificeringen beschikbaar die aantonen dat SumUp voldoet aan zijn verplichtingen onder deze Verwerkersovereenkomst en de toepasselijke wetgeving inzake gegevensbescherming, en/of stelt informatie beschikbaar die nodig is om de naleving van verplichtingen onder deze Verwerkersovereenkomst en toepasselijke wetgeving inzake gegevensbescherming aan te tonen. De door SumUp beschikbaar gestelde informatie is beperkt tot uitsluitend noodzakelijke informatie, rekening houdend met de aard van de Diensten en de informatie waarover SumUp beschikt, om U te helpen bij het voldoen aan Uw verplichtingen, met name met betrekking tot art. 32 en 36, AVG (verplichtingen met betrekking tot effectbeoordelingen met betrekking tot gegevensbescherming, voorafgaand overleg en het waarborgen van de beveiliging van persoonsgegevens);

      9. i.

        zal U binnen redelijke termijnen helpen door passende maatregelen en, voor zover redelijkerwijs mogelijk (afhankelijk van de aard van de verwerking), om te voldoen aan de rechten van het gegevenssubject en alle andere relevante verplichtingen onder de privacywetgeving, inclusief de AVG;

      10. j.

        zal u, indien toegestaan door de toepasselijke wetgeving, op de hoogte stellen van de ontvangst van een vraag of klacht van een persoon wiens persoonsgegevens zijn opgenomen in Uw content, of een bindend verzoek van een overheids-, wetshandhavings-, regelgevende of andere instantie, met betrekking tot de Gegevens van uw klanten die Wij namens U en volgens Uw instructies verwerken

    4. U, in hoedanigheid van beheerder van persoonsgegevens:

      1. a.

        verzamelt, gebruikt en verwerkt de persoonsgegevens in de content in overeenstemming met alle toepasselijke wetgeving inzake gegevensbescherming;

      2. b.

        bent als enige verantwoordelijk voor de nauwkeurigheid, kwaliteit en rechtmatige verwerking van de Gegevens van uw klanten en de middelen waarmee deze zijn verkregen;

      3. c.

        zorgt voor het juiste beveiligingsniveau bij het gebruik van de Diensten, rekening houdend met eventuele risico's met betrekking tot de Gegevens van uw klanten;

      4. d.

        erkent dat elke opslag en/of overdracht van de Gegevens van uw klanten naar een derde partij of platform, behalve SumUp, voor Uw eigen risico en verantwoordelijkheid komt;

      5. e.

        zorgt ervoor dat Uw instructies met betrekking tot de verwerking van persoonsgegevens voldoen aan alle wetten, voorschriften en regels die van toepassing zijn met betrekking tot de Gegevens van uw klanten. U zorgt er ook voor dat de verwerking van de Gegevens van uw klanten volgens Uw instructies er niet de oorzaak van zal zijn of er niet toe zal leiden dat U of Wij wetten, regels of voorschriften (inclusief de AVG) zullen overtreden.

  5. Meldingen van overtreding. De partij brengt de andere partij onmiddellijk (maar niet later dan 48 uur) op de hoogte nadat zij kennis heeft genomen van een overtreding in verband met persoonsgegevens die zijn verwerkt onder deze Verwerkersovereenkomst. SumUp zal U bijstaan bij het voldoen aan Uw meldingsverplichtingen onder de artikelen 33 en 34 van de AVG, U voorzien van informatie over de overtreding die Wij redelijkerwijs in staat zijn om U bekend te maken, rekening houdend met de aard van de Diensten, de informatie die beschikbaar is voor ons en eventuele beperkingen op het openbaar maken van de informatie, zoals bijvoorbeeld vertrouwelijkheid. Ondanks het voorgaande zijn de verplichtingen van SumUp onder deze sectie niet van toepassing op incidenten die door U worden veroorzaakt, activiteiten op Uw account en/of diensten van derden. SumUp is verplicht om mee te werken en U te ondersteunen bij het onderzoek, het minimaliseren van de negatieve gevolgen en de correctie van de overtreding met betrekking tot persoonsgegevens en het voorkomen van toekomstige soortgelijke overtredingen.
    De melding door SumUp van een overtreding met betrekking tot persoonsgegevens kan niet worden beschouwd als een erkenning door SumUp van enige fout of aansprakelijkheid met betrekking tot een dergelijk incident. In het geval van een overtreding met betrekking tot persoonsgegevens bent U verplicht om de maatregelen te nemen die vereist zijn onder de toepasselijke wetgeving in verband met de Gegevens van uw klanten.

  6. Subverwerkers. Hierbij verleent U SumUp algemene toestemming, zonder voorafgaande schriftelijke, specifieke toestemming, om subverwerkers in te schakelen om de Diensten te leveren. SumUp zal met elke subverwerker een overeenkomst sluiten om ervoor te zorgen dat deze subverwerker de voorwaarden naleeft die ten minste hetzelfde niveau van bescherming en beveiliging garanderen als die in deze Verwerkersovereenkomst zijn uiteengezet. Als u bezwaar maakt tegen een subverwerker en Uw bezwaar redelijk is en verband houdt met gegevensbeschermingskwesties, zullen Wij commercieel redelijke inspanningen leveren om U een middel ter beschikking te stellen om de verwerking van de Gegevens van uw klanten door de geweigerde subverwerker te voorkomen. Als we dergelijke voorgestelde wijzigingen niet binnen een redelijke termijn beschikbaar kunnen stellen, zullen we U hiervan op de hoogte stellen en als U nog steeds bezwaar maakt tegen ons gebruik van deze subverwerker, kunt U Uw account of, indien mogelijk, de delen van de Diensten waarbij gebruik wordt gemaakt van een dergelijke subverwerker annuleren.

  7. Overdracht van persoonsgegevens. De verwerking van de Gegevens van uw klanten vindt plaats op het grondgebied van de Europese Economische Ruimte ("EER"). Elke overdracht aan en verwerking in een derde land buiten de EU/EER dat volgens de Europese Commissie geen passend beschermingsniveau biedt, wordt uitgevoerd in overeenstemming met de Modelcontractbepalingen (2010/87/EU) of een ander passend mechanisme dat een passend niveau van beveiliging van persoonsgegevens garandeert volgens de vereisten van Hoofdstuk V van de AVG.

  8. Audits. U beschikt over het recht om eenmaal per jaar een controle de verplichtingen van SumUp onder deze Verwerkersovereenkomst uit te voeren. Als SumUp hiertoe verplicht is onder de toepasselijke wetgeving, kunnen audits eenmaal per jaar worden herhaald. Beide partijen beslissen samen of een derde partij de audit moet uitvoeren. U kunt ons echter toestaan de beveiligingscontrole te laten uitvoeren door een neutrale derde partij van onze keuze, als er sprake is van een verwerkingsomgeving is waarin de gegevens van meerdere gegevensbeheerders worden verwerkt. Als de voorgestelde audit volgt op een ISO- of vergelijkbaar certificeringsrapport dat de afgelopen twaalf maanden door een gekwalificeerde externe auditor is uitgevoerd, en SumUp bevestigt dat er geen materiële wijzigingen zijn opgetreden in de onderzochte maatregelen, zal dit voldoen aan alle verzoeken die binnen dit tijdskader zijn ontvangen. Audits mogen de zakelijke activiteiten van SumUp niet op onredelijke wijze verstoren. U bent verantwoordelijk voor alle kosten in verband met hun verzoek om audits.

  9. Aansprakelijkheid. De aansprakelijkheid van elke partij onder deze Verwerkersovereenkomst is onderworpen aan de uitsluitingen en beperkingen van aansprakelijkheid zoals uiteengezet in de Aanvullende voorwaarden en/of Voorwaarden. U gaat ermee akkoord dat eventuele wettelijke sancties of claims van gegevenssubjecten of anderen, gedaan door SumUp met betrekking tot de Gegevens van uw klanten die ontstaan als gevolg van of in verband met het niet nakomen van Uw verplichtingen onder deze Verwerkersovereenkomst of de toepasselijke Wet inzake gegevensbescherming de maximale totale aansprakelijkheid van SumUp jegens U onder de Aanvullende voorwaarden en/of de Voorwaarden verminderen met hetzelfde bedrag als de boete en/of aansprakelijkheid die Wij daardoor oplopen.

  10. Beëindiging. Deze Verwerkersovereenkomst is van kracht zolang U (een van) de Diensten van SumUp gebruikt. Als SumUp echter verplicht is, volgens de voorwaarden van deze Verwerkersovereenkomst of een van de Voorwaarden van SumUp, om persoonsgegevens van Uw klanten te bewaren na beëindiging van de Diensten, blijft deze Verwerkersovereenkomst van kracht zolang SumUp verplicht is om dergelijke persoonsgegevens te bewaren.
    Bij beëindiging van het gebruik van de Diensten, tenzij SumUp vereist is om de Gegevens van uw klanten te bewaren onder de Aanvullende voorwaarden en/of Voorwaarden van SumUp, enige overeenkomst of toepasselijke wetgeving, zal SumUp, inclusief op schriftelijk verzoek van U, zo snel als redelijkerwijs mogelijk is en volgens de Voorwaarden van SumUp en de toepasselijke wetten de Gegevens van uw klanten verwijderen.

  11. Diversen

    1. In geval van tegenstrijdigheid tussen deze Verwerkersovereenkomst en een van de Aanvullende voorwaarden en/of Voorwaarden van SumUp, hebben de bepalingen van deze Verwerkersovereenkomst de voorkeur.

    2. U bent verantwoordelijk voor alle kosten en uitgaven die voortvloeien uit de naleving door SumUp van Uw instructies of verzoeken op grond van de Aanvullende voorwaarden (inclusief deze Verwerkersovereenkomst) die buiten de standaardfunctionaliteit vallen die SumUp in het algemeen via de Diensten ter beschikking stelt.

    3. SumUp beschikt over het recht om de voorwaarden van deze Verwerkersovereenkomst van tijd tot tijd te wijzigen en/of aan te passen. Wijzigingen in de overeenkomst kunnen door SumUp worden aangebracht in een aparte bijlage of op een andere zichtbare manier en zullen op passende wijze worden gecommuniceerd.

    4. Alle vragen met betrekking tot deze Verwerkersovereenkomst of andere verzoeken met betrekking tot de verwerking van persoonsgegevens moeten aan ons worden gericht via dpo@sumup.com. SumUp zal proberen klachten met betrekking tot het gebruik van de Gegevens van uw klanten op te lossen in overeenstemming met deze Verwerkersovereenkomst, de Voorwaarden en het interne beleid van SumUp.

    5. Als een van de bepalingen van de Verwerkersovereenkomst ongeldig wordt geacht, heeft dit geen invloed op de overige bepalingen. De partijen vervangen zal de ongeldige bepalingen vervangen door geldige bepalingen die het doel van de ongeldige bepaling weerspiegelt.

    6. Deze Overeenkomst zal worden beheerst door en geïnterpreteerd in overeenstemming met de Ierse wetgeving. Alle geschillen die voortvloeien uit of verband houden met de Overeenkomst wordt uiteindelijk voorgelegd aan en behandeld door de rechtbanken van Ierland, behalve als dit verboden is overeenkomstig de EU-wetgeving.