Acuerdo de protección de datos

Vigente a partir del 22 de abril de 2020

Última actualización del 20/11/2020

Este Acuerdo de Protección de Datos ("DPA") forma parte y está sujeto a las disposiciones de los Términos Adicionales de Uso de Tarjetas Regalo (el "Acuerdo", los "Términos Adicionales"), la Política de Privacidad y cualquier otro Término y Condición aplicable de SumUp (en adelante, los "Términos", "Política de Privacidad"), concluida y acordada por y entre usted como comerciante de SumUp ("usted") y SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublín 2, Irlanda D02 K580 ("SumUp", "nosotros"), parte de SumUp S.A.R.L. Group Companies – SumUp Group.

Tanto SumUp como usted ("las partes") acuerdan y aseguran que los términos de esta DPA también serán plenamente aplicables a sus afiliados que puedan estar involucrados en el procesamiento de datos personales para los Servicios de Tarjetas Regalo definidos en los Términos Adicionales.

Con el fin de proporcionarle los Servicios de Tarjetas Regalo en virtud de los Términos Adicionales, SumUp procesa los datos de los clientes de los Servicios de Tarjetas Regalo ("Sus Clientes", "Clientes"). El procesamiento de esos datos por parte de Sumup se denomina en adelante "procesamiento" (tal como se define ese término en el RGPD). El DPA establece los términos de dicho procesamiento por parte de SumUp.

1. Definiciones. a. Por "legislación de protección de datos aplicable" se entiende el Reglamento (UE) 2016/679 (el "RGPD", "Reglamento"), así como el resto de la legislación vigente aplicable que regula el tratamiento de datos personales, incluida, en su caso, la Directiva 2002/58/CE sobre la privacidad electrónica.⏎b. Los términos "controlador", "sujeto de datos", "datos personales", "proceso", "procesamiento" y "procesador", "controladores conjuntos" tienen los significados que se dan a estos términos en el RGPD. C. "Datos de sus clientes" se refiere a los datos personales de sus clientes: compradores de regalos, destinatarios de regalos y cualquier otra persona cuyos datos se procesen en relación con nuestros Servicios de Tarjetas Regalo.

Todas las definiciones que se utilizan en el presente DPA pero que no tienen una definición explícita en esta sección tendrán el significado definido en los Términos Adicionales. Si no existe una definición específica en los Términos Adicionales o en los Términos, su significado será el que figura en el RGPD o en las demás normas aplicables si no se define en el Reglamento.

2. Aplicabilidad, Alcance y Roles.

2.1 El presente DPA regula el procesamiento de datos personales únicamente sobre la base, con los fines y dentro del plazo de validez de la prestación de los Servicios de Tarjetas Regalo de SumUp o de los servicios asociados en virtud de los Términos Adicionales.

2.2 Este DPA no es aplicable a los datos personales procesados por cada una de las partes en su calidad de controlador independiente de datos personales. Usted acepta que SumUp no es responsable de los datos personales que haya elegido procesar a través de servicios de terceros o fuera de los Servicios de Tarjetas Regalo, incluyendo los sistemas de cualquier otro servicio de nube de terceros, de almacenamiento fuera de línea o en el propio sitio.

2.3 En la medida en que los Datos de Sus Clientes sean procesados por SumUp en su nombre y este procesamiento esté sujeto al RGPD, usted reconoce y acepta que a los efectos de la prestación de los Servicios de Tarjetas Regalo por parte de SumUp, usted es el responsable del tratamiento de dichos datos personales, y que al utilizar los Servicios de SumUp, ha dado instrucciones a SumUp para que procese los Datos de Sus Clientes en su nombre, de conformidad con el presente DPA. SumUp actúa como un procesador de datos en su nombre, excepto cuando los datos personales de sus clientes se utilizan para nuestros propios fines, como, entre otros, la detección de riesgos / fraude, el cumplimiento de la ley, la protección de nuestros intereses y la mejora de nuestros servicios . Usted es el emisor de la tarjeta regalo y le brindamos la solución para la emisión de tarjetas regalo.

2.4 Si procesamos datos personales de sus clientes para fines y medios determinados conjuntamente, podríamos ser considerados controladores conjuntos con usted. Esa relación de control conjunto puede darse si nos basamos en un mismo fundamento jurídico (como el consentimiento) para las actividades de comercialización conjunta. Sin embargo, si SumUp procesa los datos personales para nuestros propios fines de marketing y usted los procesa para sus propios fines de marketing, somos controladores independientes.

2.5 Al enviar enlaces para la compra de tarjetas regalo a Sus Clientes, usted controla sus datos y es el único responsable de este procesamiento de acuerdo con la Legislación de Protección de Datos Aplicable.

2.6 Usted es el único responsable del cumplimiento de las leyes y reglamentos aplicables a los datos de sus clientes mientras estén en su posesión, custodia o control. Para evitar cualquier duda, usted es el único responsable del cumplimiento de la Legislación de Protección de Datos aplicable, es decir, el controlador de datos personales independiente para el procesamiento de los datos de sus clientes antes, después o fuera del uso de nuestros Servicios de Tarjetas Regalo.

2.7 Puede revocar la aceptación de este DPA en cualquier momento, pero al hacerlo SumUp ya no podrá prestarle el Servicio. 3. Detalles del procesamiento de datos. a. Tema en cuestión. El objeto del tratamiento de datos en virtud de este DPA es el procesamiento de los datos personales de Sus Clientes para la prestación de los Servicios de Tarjetas Regalo de SumUp.

b. Duración. Entre usted y nosotros, la duración del procesamiento de datos en virtud de este DPA es determinada por usted y para el período seleccionado para el cual usted elige utilizar nuestros Servicios de Tarjetas Regalo.

c. Propósito. La finalidad del tratamiento de datos en el marco de este DPA es la prestación de los Servicios de Tarjetas Regalo iniciados por usted.

d. Naturaleza del Procesamiento. Los Servicios de Tarjetas Regalo descritos en los Términos Adicionales e iniciados por usted.

e. Tipo de datos personales. Datos de sus clientes: compradores de tarjetas regalo y/o destinatarios de tarjetas regalo u otras personas cuyos datos personales se procesan como parte de los Servicios de Tarjetas de Regalo de acuerdo con los Términos Adicionales y los Términos de SumUp. Estos datos incluyen, pero no se limitan a, los nombres de sus clientes, dirección de correo electrónico y detalles bancarios. Las categorías especiales de datos personales, incluidos los relativos a condenas penales y delitos, no se consideran procesados en el marco de los Servicios de Tarjetas Regalo y quedan excluidos de los términos del presente DPA. Si tales datos se procesan mientras se utilizan nuestros Servicios, esto es sin el conocimiento de SumUp y usted debe eliminar dicha información inmediatamente después de identificar dicho procesamiento.

f. Categorías de Sujetos de Datos. Usted, sus clientes, los compradores de tarjetas regalo y los receptores de tarjetas regalo, y cualquier otra persona cuyos datos personales se procesen para la prestación de los servicios de tarjetas regalo. 4. Derechos y Obligaciones

4.1 SumUp en su capacidad de procesador de datos personales actuando en su nombre:

a. procesa los Datos de sus Clientes solo para los propósitos especificados en el DPA y de acuerdo con la ley aplicable y el DPA.

b. solo puede actuar y procesar los Datos de sus Clientes de acuerdo con sus instrucciones documentadas, a menos que sea requerido por la ley, orden judicial o medida legislativa, para actuar sin dicha instrucción. Sus instrucciones, en el momento de suscribir esta DPA, es que SumUp solo puede procesar los datos de sus clientes con el propósito de prestar los Servicios de Tarjetas Regalo como se describe en el DPA y los Términos Adicionales. Con sujeción a los términos de este DPA, y con el acuerdo mutuo de ambas partes, usted puede emitir instrucciones escritas adicionales de acuerdo con los términos de este DPA.

c. garantiza que las personas autorizadas a tratar datos personales han asumido la obligación de confidencialidad o están legalmente obligadas a mantenerla.

d. garantiza que el acceso a los datos personales se concede en función de la necesidad de conocer el funcionamiento de los Servicios de Tarjetas Regalo en virtud de los Términos Adicionales.

e. es responsable de asegurar que los empleados/subcontratistas y/o cualquier agente que procese los datos de sus clientes solo procese los datos personales de acuerdo con sus instrucciones.

f. le informará inmediatamente en caso de que consideremos que algunas de sus instrucciones contradicen la legislación de protección de datos aplicable.

g. está obligado a proteger los datos de sus Clientes bajo este DPA de cualquier destrucción, alteración, pérdida y cualquier otro procesamiento no autorizado. Para ello, SumUp toma las medidas de seguridad adecuadas de acuerdo con la legislación aplicable. Las medidas técnicas y organizativas aplicadas por SumUp dependen del avance técnico. Es posible que SumUp introduzca algunas medidas alternativas adecuadas. No es posible disminuir el nivel de las medidas de seguridad definidas cuando se introducen esas alternativas. SumUp le prestará asistencia con las medidas técnicas y organizativas que sean necesarias y, teniendo en cuenta la naturaleza del tratamiento y la categoría de la información de que dispone, le ayudará a garantizar el cumplimiento de sus obligaciones en virtud de la Legislación de Protección de Datos aplicable.

h. a petición suya, pone a disposición las certificaciones que demuestran el cumplimiento por parte de SumUp de sus obligaciones en virtud de este DPA y de la Legislación de Protección de Datos Aplicable; y/o pone a disposición la información necesaria para demostrar el cumplimiento de las obligaciones en virtud de este DPA y de la Legislación de Protección de Datos Aplicable. La información que ha de facilitar SumUp se limita a la exclusivamente necesaria, teniendo en cuenta la naturaleza de los Servicios y la información de que dispone SumUp, para ayudarle a cumplir sus obligaciones, especialmente en lo que respecta a los artículos 32 y 36 del RGPD (obligaciones relativas a la evaluación de los efectos de la protección de datos, la consulta previa y la garantía de la seguridad de los datos personales).

i. le ayudará, dentro de plazos razonables, con medidas apropiadas y, en la medida en que sea razonablemente posible (teniendo en cuenta la naturaleza del tratamiento), a cumplir los derechos de los interesados y todas las demás obligaciones pertinentes en virtud de la reglamentación de la privacidad de los datos, incluido el RGPD.

j. le avisará, si lo permite la ley aplicable, al recibir una consulta o queja de un individuo cuyos datos personales se procesan para la prestación de Servicios de Tarjetas Regalo o una demanda vinculante de un gobierno, agencia policial, reguladora u otro organismo, con respecto a los Datos de Sus Clientes que procesamos en su nombre e instrucciones.

4.2 Usted en calidad de controlador de datos personales:

a. recopilará, usará y procesará datos personales de acuerdo con todas y cada una de las leyes de protección de datos aplicables.

b. será el único responsable de la exactitud, calidad y procesamiento legal de los Datos de sus Clientes y los medios por los que se obtuvieron.

c. garantizará el nivel adecuado de seguridad al utilizar los Servicios de Tarjetas Regalo, teniendo en cuenta cualquier riesgo con respecto a los Datos de sus Clientes.

d. acepta que cualquier almacenamiento y/o transferencia que haga de los Datos de sus Clientes a cualquier tercero o plataforma, que no sea SumUp, será a su exclusivo riesgo y responsabilidad.

e. se asegurará de que sus instrucciones con respecto al procesamiento de datos personales cumplan con todas las leyes, reglamentos y normas aplicables en relación con los Datos de sus Clientes. También se asegurará de que el procesamiento de los Datos de sus Clientes de acuerdo con sus instrucciones no causará ni resultará en que nosotros o usted incumplamos ninguna ley, regla o regulación (incluyendo el RGPD).

4.3 Usted deberá adoptar y cumplir con su propia "política de privacidad del cliente." Su política de privacidad estará disponible para que sus clientes tengan conocimiento de sus prácticas de recopilación y uso de datos y para que cumplan con la legislación de protección de datos aplicable. Su política de privacidad del cliente incluirá descripciones para que sus clientes conozcan la forma en que sus datos son utilizados por usted y por nosotros.

4.4 Para cada anuncio, mensaje o campaña enviada o distribuida a través de los Servicios de Tarjetas Regalo, usted acepta que podamos añadir un enlace relacionado con las opciones de "Cancelar Suscripción" por razones de regulación de datos personales y/o una declaración como "Email Marketing by SumUp" o "Powered by SumUp" en el pie de página u otra ubicación similar que no oculte de forma injustificada el mensaje o la campaña.

4.5 Al actuar como controlador independiente o controlador conjunto, cada parte está obligada a cumplir con la legislación de protección de datos aplicable para la protección de datos personales, así como con cualquier acto legal específico aplicable al régimen de información procesada durante el desempeño de sus actividades.

4.6 Al actuar como controladores conjuntos, ambas partes acuerdan que los interesados cuyos datos personales se procesan para los Servicios de Tarjetas Regalo pueden ejercer sus derechos relacionados con el procesamiento de datos personales contra cada una de las partes, a menos que se acuerde lo contrario. Al actuar como controladores conjuntos para actividades de marketing conjuntas que se basan en un mismo fundamento jurídico para el procesamiento de los datos personales, el consentimiento del comprador de la tarjeta regalo y/o del destinatario de la tarjeta regalo, usted acepta que, en caso de que el interesado le retire su consentimiento directamente a usted, informará inmediatamente a SumUp. Si una de las partes recibe una solicitud o consulta de un sujeto de datos con respecto a asuntos cubiertos por la responsabilidad de otra parte, la solicitud se envía a dicha parte sin demora indebida,

4.7 Al actuar como controlador independiente o controlador conjunto, cada parte garantiza que la información necesaria de conformidad con los artículos 13 y 14 del RGPD se proporciona a los interesados cuyos datos personales se procesan para la prestación de los Servicios de Tarjetas Regalo. Cada parte ayuda a la otra parte a cumplir con la legislación de protección de datos aplicable para respetar los derechos de los sujetos de datos (si corresponde) relacionados con el procesamiento de datos personales y la notificación de infracciones de datos personales.

4.8 Cuando actúen como responsables conjuntos, en caso de recibirse una queja: a. cada parte es responsable de la tramitación de cualquier queja de los interesados, si las quejas se refieren a la infracción de las disposiciones del Reglamento de las que la parte es responsable según este DPA.

b. si una de las partes recibe una queja que debería ser atendida en su totalidad o en parte por la otra parte, la queja se remite sin demora injustificada.

c. en relación con el envío de una queja o parte de una queja a la otra Parte, el interesado debe ser notificado sobre la esencia de este acuerdo.

d. las partes se informan mutuamente sobre los asuntos referentes a la esencia del procesamiento conjunto y este DPA. 5. Notificaciones de incumplimiento.

5.1 La parte informará inmediatamente a la otra parte (pero no más tarde de 48 horas) cuando tenga conocimiento de un incumplimiento en relación con los datos personales procesados en virtud del presente DPA. La parte que notifica la infracción está obligada a proporcionar a la otra parte información adicional sobre la infracción de los datos personales, a fin de reunir y almacenar pruebas de la infracción de los datos personales.

5.2 SumUp, en su calidad de procesador de datos personales, le ayudará a cumplir con sus obligaciones de notificación en virtud de los artículos 33 y 34 de la Ley de Protección de Datos, le facilitará la información sobre el incumplimiento que podamos revelarle de forma razonable, teniendo en cuenta la naturaleza de los Servicios de Tarjetas Regalo, la información de que disponemos y cualquier restricción a la divulgación de la información, por ejemplo, en materia de confidencialidad. A pesar de lo anterior, las obligaciones de SumUp en virtud de esta sección no se aplican a los incidentes causados por usted, cualquier actividad en su cuenta y/o servicios de terceros. SumUp está obligado a cooperar y apoyarle en la investigación, la minimización de las consecuencias negativas y la rectificación de la vulneración de los datos personales, así como en la prevención de futuras vulneraciones de datos similares.

5.3 La notificación de SumUp de una vulneración de los datos personales no se considerará como un reconocimiento por parte de SumUp de ninguna falta o responsabilidad con respecto a dicho incidente. En el caso de una vulneración de los datos personales, usted estará obligado a tomar las medidas requeridas por las leyes aplicables en relación con los Datos de sus Clientes.

5.4 En caso de control conjunto entre usted y SumUp, sobre la base de la información proporcionada y el caso concreto, las partes decidirán qué parte dirigirá el procedimiento de notificación de la infracción a la autoridad de datos personales (si procede) dentro del plazo definido en la legislación de protección de datos aplicable.⏎

6. Subprocesadores. Por la presente, usted otorga a SumUp (cuando actúa como procesador de datos personales) autorización general para contratar sub-procesadores con el fin de prestar los Servicios de Tarjetas Regalo sin obtener ninguna otra autorización escrita o específica. SumUp firmará un acuerdo con cada subprocesador asegurando el cumplimiento por parte de dicho subprocesador de los términos que aseguren al menos el mismo nivel de protección y seguridad que los establecidos en este DPA. Si usted se opone a cualquier subprocesador y su objeción es razonable y está relacionada con cuestiones de protección de datos, haremos esfuerzos comercialmente razonables para poner a su disposición un medio de evitar el procesamiento de los Datos de sus Clientes por el subprocesador objetado. Si no podemos hacer disponibles tales cambios sugeridos dentro de un período de tiempo razonable, se lo notificaremos y si aún se opone a nuestro uso de tal subprocesador, puede cancelar o terminar su cuenta o, si es posible, las partes de los Servicios de Tarjetas Regalo que implican el uso de tal subprocesador. 7. Transferencia de datos personales. El Procesamiento de los Datos de sus Clientes por parte de SumUp tendrá lugar en el territorio del Espacio Económico Europeo ("EEE"). Cualquier transferencia a un tercer país fuera de la UE/EEE y su procesamiento en el mismo que no garantice un nivel de protección adecuado según la Comisión Europea, se realizará de conformidad con las cláusulas contractuales tipo (2010/87/UE) u otro mecanismo apropiado que garantice un nivel adecuado de seguridad de los datos personales de acuerdo con los requisitos del capítulo V del RGPD.8. Auditorías. Usted tiene derecho a iniciar una revisión de las obligaciones de SumUp bajo este DPA solo para las actividades de procesamiento para las cuales SumUp está actuando en su nombre, como su procesador de datos personales. Las auditorías pueden iniciarse una vez al año. Si SumUp está obligado a hacerlo en virtud de la legislación aplicable, las auditorías podrán repetirse una vez al año. Ambas partes deciden conjuntamente si un tercero debe realizar la auditoría. Sin embargo, puede permitirnos que la revisión de seguridad la realice un tercero neutral de nuestra elección, si se trata de un entorno de procesamiento en el que se procesan los datos de múltiples controladores de datos. Si el alcance propuesto de la auditoría se basa en un informe de certificación de la ISO o similar realizado por un auditor tercero cualificado en los doce meses anteriores, y SumUp confirma que no ha habido cambios importantes en las medidas que se están examinando, se satisfarán todas las solicitudes recibidas dentro de ese plazo. Las auditorías no pueden interferir irrazonablemente con las actividades habituales de SumUp. Usted es responsable de todos los gastos relacionados con la solicitud de auditoría adicional.9. Responsabilidad. La responsabilidad de cada una de las partes en virtud de este DPA está sujeta a las exclusiones y limitaciones de responsabilidad establecidas en los Términos y/o Términos Adicionales. Usted acepta que cualquier sanción regulatoria o reclamación de los sujetos de datos, u otros, en la que SumUp incurra en relación con los Datos de sus Clientes que surjan como resultado de, o en relación con, su incumplimiento de sus obligaciones en virtud de este DPA o la Ley de Protección de Datos aplicable, reducirá la responsabilidad total máxima de SumUp ante usted en virtud de los Términos Adicionales y/o los Términos en la misma cantidad que la multa y/o la responsabilidad incurrida por nosotros como resultado. 10. Terminación.10.1 Este DPA estará vigente mientras utilice cualquiera de los Servicios de Tarjetas Regalo de SumUp. Sin embargo, si SumUp está obligado, de acuerdo con los términos de este DPA o cualquiera de los Términos y Condiciones de SumUp o la legislación aplicable, a mantener los datos personales procesados de acuerdo con este DPA y/o los Términos de SumUp después de la terminación de los Servicios de Tarjetas Regalo, este DPA continuará en vigor durante todo el tiempo que SumUp esté obligado a mantener dichos datos personales.

10.2 Upon termination of the use of the Gift Cards Services, and unless SumUp is required to retain Your Customers’ Data under SumUp’s Additional Terms and/or Terms, any agreement or applicable laws, SumUp shall, including upon written request by you, delete the personal data as soon as reasonably practicable and according to SumUp’s Terms and applicable laws. 11. Varios.

11.1 En caso de contradicción entre este DPA y cualquiera de los Términos y/o Términos Adicionales de SumUp, prevalecerán las disposiciones de este DPA.

11.2 Usted es responsable de cualquier coste y gasto derivado del cumplimiento por parte de SumUp de sus instrucciones o solicitudes de conformidad con los Términos Adicionales (incluyendo este DPA) que queden fuera de la funcionalidad estándar facilitada por SumUp generalmente a través de los Servicios de Tarjetas Regalo.

11.3 SumUp tendrá derecho a modificar y/o ajustar cualquiera de los términos de este DPA según sea necesario en cada momento. Los cambios en el Acuerdo pueden hacerse por medio de Sumup en un Anexo separado o en otro medio visible y se comunicarán adecuadamente.

11.4 Cualquier pregunta relativa a este DPA o a otras solicitudes relacionadas con el procesamiento de datos personales debe dirigirse a dpo@sumup.com. SumUp intentará resolver cualquier queja relacionada con el procesamiento de datos personales de acuerdo con este DPA, los Términos y las políticas internas de SumUp.

11.5 Si alguna de las disposiciones del DPA se considera no válida, ello no afecta a las demás disposiciones. Las partes sustituirán las disposiciones no válidas por una disposición legal que refleje el propósito de la disposición no válida.

El presente Acuerdo se regirá e interpretará de acuerdo con la legislación irlandesa. Cualquier conflicto que surja o esté relacionado con este Acuerdo será finalmente remitido y resuelto por los tribunales de Irlanda, excepto donde lo prohíba la ley de la UE.